У новому звіті команди Cato CTRL повідомляється про активізацію хакерів, які запустили кампанію ботнету, націлену на роутери TP-Link. Вже понад 6000 пристроїв стали жертвами атак.
Про це розповідає ProIT
Ботнет під назвою Ballista використовує уразливість для віддаленого виконання коду (RCE) в моделі TP-Link Archer AX-21. Шкідливе програмне забезпечення спочатку завантажується на пристрій і активує скрипт, який отримує та виконує необхідний бінарний файл. Після цього встановлюється канал керування (C2) на порту 82, що надає хакерам повний контроль над зараженими пристроями.
Зловмисне програмне забезпечення здатне виконувати віддалені команди, здійснювати DDoS-атаки, переглядати конфігураційні файли, а також приховувати своє існування. Окрім цього, воно може заражати інші роутери. Більшість з тисяч заражених пристроїв знаходяться у Бразилії, Польщі, Великій Британії, Болгарії та Туреччині. Атаки особливо націлені на медичні та технологічні компанії в США, Австралії, Китаї та Мексики.
Дослідники зауважили, що вихідна IP-адреса та мова вказували на італійських хакерів. Проте початкова IP-адреса вже неактивна, її замінив новий варіант, що використовує домени мережі TOR, що свідчить про активну розробку зловмисного програмного забезпечення.
Експерти настійно рекомендують користувачам терміново встановити патч для роутера TP-Link Archer AX-21, який доступний на офіційному сайті компанії разом з інструкціями щодо налаштування.
«Користувачів Telegram атакує EvilVideo — як уникнути експлойта»
