Ballista-Botnetz nutzt TP-Link-Router-Schwachstelle aus und infiziert über 6.000 Geräte
Ein neues Botnetz namens Ballista nutzt eine kritische Sicherheitslücke (CVE-2023-1389) in ungepatchten TP-Link Archer AX-21 Routern aus und hat bereits über 6.000 Geräte infiziert. Die Schwachstelle erlaubt die Remote Code Execution, wodurch sich Ballista automatisch über Kommandoinjektion verbreiten kann. Betroffen sind hauptsächlich Organisationen aus den Bereichen Fertigung, Gesundheitswesen, Dienstleistungen und Technologie in Brasilien, Polen, Großbritannien, Bulgarien und der Türkei, aber auch in den USA, Australien, China und Mexiko. Ballista verwendet einen Malware-Dropper und ein Shell-Skript, um die Hauptbinärdatei auszuführen, einen C2-Kanal einzurichten, um infizierte Geräte zu steuern, und DoS-Angriffe und das Auslesen sensibler Dateien durchzuführen. Forscher vermuten einen italienischen Ursprung, aber die Verwendung von Tor-Netzwerken deutet auf eine aktive Weiterentwicklung und aktive Umgehungstechniken hin.