Una recente campagna botnet ha messo in luce una vulnerabilità di sicurezza di alta gravità nei router TP-Link non aggiornati, diffondendosi già su oltre 6.000 dispositivi. I ricercatori del team Cato CTRL hanno scoperto che la botnet chiamata Ballista sfrutta una vulnerabilità di esecuzione remota di codice legata specificamente al router TP-Link Archer AX-21. Questo problema di sicurezza, identificato come CVE-2023-1389, ha già consentito ad altri malware di diffondersi, in un attacco che risale ad aprile 2023, incluso il noto malware Mirai. È importante monitorare questa situazione che continua ad evolversi e a coinvolgere vari attori nel panorama malintenzionato.
Dettagli tecnici della vulnerabilità
La vulnerabilità in questione consente l'inserimento di comandi, causando la possibilità di esecuzione di codice remoto da parte del malware. Ciò significa che Ballista può propagarsi automaticamente attraverso Internet. L’ultimo tentativo di sfruttamento da parte di Ballista è stato segnalato il 17 febbraio 2025, mentre il primo avvistamento da parte di Cato CTRL risale al 10 gennaio 2025. La maggior parte dei dispositivi infettati si trova in paesi come Brasile, Polonia, Regno Unito, Bulgaria e Turchia, con Ballista che sembra targeting settori quali la produzione, la sanità, i servizi e la tecnologia negli Stati Uniti, Australia, Cina e Messico.
Modalità di attacco della botnet
L’attacco inizia con un dropper di malware, seguito da uno script shell progettato per scaricare ed eseguire il binario principale sul sistema obiettivo, supportando varie architetture di sistema. Una volta attivato, il malware crea un canale di comando e controllo sulla porta 82 per impostare il controllo del dispositivo. Questo facilita l'esecuzione di comandi shell, permettendo ulteriori azioni di codice remoto e attacchi di Denial of Service . Allo stesso tempo, Ballista cerca di accedere a file sensibili presenti sul sistema.
Comandi supportati da Ballista
Il malware Ballista è dotato di una serie di comandi integrati, tra cui flooder , exploiter , start , close , shell e killall . Un aspetto preoccupante di Ballista è la sua capacità di chiudere istanze precedenti di se stesso e cancellare la sua presenza una volta eseguito, manifestando un design ben pianificato per evitare la rilevazione.
Origine e sviluppo della minaccia
Gli esperti di cybersecurity hanno rilevato che sia l'indirizzo IP che la lingua utilizzati sembrano avere una base italiana, suggerendo quindi una possibile origine sconosciuta di tale minaccia da parte di attori di lingua italiana. Tuttavia, si è notato che l'indirizzo IP iniziale utilizzato non è più funzionante e è stato sostituito da una nuova variante che utilizza domini della rete TOR. Questo cambiamento suggerisce che il malware sia ancora in fase di sviluppo attivo, rendendo imperativa la necessità di aggiornamenti regolari ai dispositivi vulnerabili per prevenire potenziali attacchi futuri.
