一個名為「Ballista」的物聯網殭屍網路活動自2025年初開始針對未修補的TP-Link路由器展開攻擊。根據Cato Networks的CTRL團隊在3月11日發布的報告,這個殭屍網路利用TP-Link Archer路由器中的遠端程式碼執行漏洞(CVE-2024-1389)進行傳播,使其能夠在網路上自動擴散。
CVE-2024-1389漏洞的最早記錄利用嘗試可追溯至2023年4月,當時未確認的威脅行動者利用它部署Mirai殭屍網路惡意軟體。而現在,同一漏洞再次被利用於另一個擁有自己獨特惡意軟體的殭屍網路活動。
相關文章:利用知名路由器漏洞傳播,Mirai DDoS 惡意軟體變種活躍中
根據Cato Networks的研究,Ballista殭屍網路的攻擊序列包含一個初始有效負載,其中包括一個下載惡意軟體的bash腳本。一旦執行,該惡意軟體會在82埠上設置TLS加密的命令與控制(C2)通道,從而對設備建立完全控制。
CTRL研究人員在1月10日首次識別到這項活動,並在過去幾週觀察到多次初始存取嘗試。報告中記錄的最近一次嘗試發生於2月17日。
Cato CTRL的研究人員認為,Ballista活動可能來自於一個意大利基礎的威脅行為者,這一判斷基於IP地址位置和在惡意軟體二進制檔中發現的意大利語字串。
目前,Ballista殭屍網路主要針對多個行業中的TP-Link路由器,包括:
受影響的地區跨越全球多個國家,包括美國、澳大利亞、中國和墨西哥。根據CTRL研究人員進行的Censys搜索,Ballista可選擇的脆弱、公開在網路的設備超過6,000台。
為了保護組織免受此類威脅,安全專家建議:
- 實施多層網路安全防護:建立深度防禦策略,包括網路分段和訪問控制
- 整合行為檢測:部署能夠識別惡意軟體活動異常行為的安全工具
- 及時修補:確保所有TP-Link設備都應用了最新的安全更新
- 監控網路流量:特別關注異常的出站連接,尤其是來自IoT設備的可疑通信
CTRL研究人員在報告中指出,近幾個月來,TP-Link因與中國政府的疑似聯繫而受到關注。
美國政府已考慮禁止TP-Link設備,儘管該公司堅決否認這些指控。
這一事件再次凸顯了物聯網設備安全的重要性,以及組織需要持續關注和管理網路邊緣設備的安全風險。隨著越來越多的設備連接到網路,未修補的漏洞繼續成為威脅行為者的主要目標。
延伸閱讀:2025年資安威脅預測:暗網研究揭露物聯網成重大隱憂
本文轉載自darkreading。