أصبحت أجهزة TP-Link Archer التي لم يتم تصحيح ثغراتها هدفًا لحملة جديدة لشبكة بوت نت تُعرف باسم Ballista، وفقًا لنتائج جديدة من فريق Cato CTRL.
وقال الباحثان الأمنيان أوفيك فاردي ومتان ميتلمان في تقرير تقني شاركاه مع The Hacker News: “تستغل شبكة البوت نت ثغرة تنفيذ أكواد عن بُعد (RCE) في أجهزة TP-Link Archer (CVE-2023-1389) للانتشار تلقائيًا عبر الإنترنت”.
تُعد CVE-2023-1389 ثغرة أمنية عالية الخطورة تؤثر على أجهزة TP-Link Archer AX-21، وقد تؤدي إلى حقن أوامر، مما يمهد الطريق لتنفيذ أكواد عن بُعد.
يعود أول دليل على استغلال هذه الثغرة إلى أبريل 2023، حيث استخدمها مهاجمون مجهولون لنشر برمجيات Mirai الخبيثة. ومنذ ذلك الحين، تم استغلالها أيضًا لنشر عائلات برمجيات خبيثة أخرى مثل Condi وAndroxGh0st.
تفاصيل حملة Ballista
اكتشف فريق Cato CTRL حملة Ballista في 10 يناير 2025، بينما تم تسجيل آخر محاولة استغلال في 17 فبراير.
تتضمن سلسلة الهجوم استخدام برنامج إسقاط برمجيات خبيثة (dropper) وهو عبارة عن سكربت shell (“dropbpb.sh”) مصمم لجلب وتنفيذ الملف الثنائي الرئيسي على النظام المستهدف لأنظمة مختلفة مثل mips، mipsel، armv5l، armv7l، وx86_64.
بمجرد التنفيذ، تقوم البرمجية الخبيثة بإنشاء قناة مشفرة للتحكم والسيطرة (C2) على المنفذ 82 للسيطرة على الجهاز.
وقال الباحثون: “هذا يسمح بتنفيذ أوامر shell لإجراء هجمات تنفيذ أكواد عن بُعد (RCE) وهجمات حجب الخدمة (DoS). بالإضافة إلى ذلك، تحاول البرمجية قراءة ملفات حساسة على النظام المحلي”.
أوامر البرمجية الخبيثة
تشمل بعض الأوامر المدعومة ما يلي:
- flooder: لتنفيذ هجوم flood.
- exploiter: لاستغلال الثغرة CVE-2023-1389.
- start: معلمة اختيارية تُستخدم مع exploiter لبدء الوحدة.
- close: لإيقاف الوظيفة المطلوبة.
- shell: لتنفيذ أوامر shell على النظام المحلي.
- killall: لإنهاء الخدمة.
بالإضافة إلى ذلك، يمكن للبرمجية إنهاء النسخ السابقة من نفسها ومحو وجودها بمجرد بدء التنفيذ. كما أنها مصممة للانتشار إلى أجهزة أخرى عن طريق استغلال الثغرة.
أصل البرمجية الخبيثة
يشير استخدام عنوان IP الخاص بخادم التحكم (2.237.57[.]70) ووجود سلاسل نصية باللغة الإيطالية في الملفات الثنائية للبرمجية إلى مشاركة جهة تهديد إيطالية مجهولة.
ومع ذلك، يبدو أن البرمجية قيد التطوير النشط، حيث لم يعد عنوان IP يعمل، وهناك نسخة جديدة من البرنامج الإسقاط تستخدم نطاقات شبكة TOR بدلًا من عنوان IP ثابت.
نطاق الانتشار
كشف بحث على منصة إدارة الأسطح الهجومية Censys عن إصابة أكثر من 6000 جهاز بشبكة Ballista، مع تركيز الإصابات في البرازيل، بولندا، المملكة المتحدة، بلغاريا، وتركيا.
كما تم اكتشاف استهداف الشبكة لمنظمات في قطاعات التصنيع، الرعاية الصحية، الخدمات، والتكنولوجيا في الولايات المتحدة، أستراليا، الصين، والمكسيك.
وقال الباحثون: “على الرغم من أن هذه العينة من البرمجيات الخبيثة تشترك في أوجه تشابه مع شبكات بوت نت أخرى، إلا أنها تظل متميزة عن الشبكات الشائعة مثل Mirai وMozi“.
