Ballista-Botnetz kapert tausende TP-Link-Router über kritische Sicherheitslücke
Ungepatchte TP-Link Archer-Router stehen im Visier einer neuen Botnetz-Kampagne namens Ballista. Laut aktuellen Erkenntnissen des Cato-CTRL-Teams nutzen Angreifer eine kritische Sicherheitslücke, um die Kontrolle über tausende Geräte zu übernehmen. Mehr als 6000 Router sollen betroffen sein – und die Malware verbreitet sich rasant.
„Das Botnetz nutzt eine Remote-Code-Execution-Sicherheitslücke in TP-Link Archer-Routern (CVE-2023-1389), um sich automatisch über das Internet zu verbreiten“, so die Sicherheitsexperten Ofek Vardi und Matan Mittelman in einem technischen Bericht.
Die kritische Sicherheitslücke (CVE-2023-1389) betrifft TP-Link Archer AX-21-Router und ermöglicht Befehlsinjektionen, die zu einer Remote-Code-Ausführung führen können. Bereits im April 2023 wurde sie aktiv ausgenutzt, um Mirai-Botnetz-Malware zu verbreiten. Später wurde sie auch genutzt, um andere Schadsoftware-Familien wie Condi und AndroxGh0st zu verbreiten.
Cato CTRL entdeckte die Ballista-Kampagne am 10. Januar 2025, der bisher letzte bekannte Angriff wurde am 17. Februar registriert. Der Angriff beginnt mit einer Infektion durch einen Malware-Dropper, der als Shell-Skript („dropbpb.sh“) fungiert. Dieses Skript lädt die Haupt-Malware für verschiedene Systemarchitekturen herunter und führt sie aus, darunter mips, mipsel, armv5l, armv7l und x86_64.
Nach der Infektion baut die Schadsoftware eine verschlüsselte Kommando- und Kontrollverbindung (C2) auf Port 82 auf, um die Kontrolle über das Gerät zu übernehmen.
Laut den Experten kann die Malware beliebige Shell-Befehle ausführen, um weitere Remote-Code-Execution- und Denial-of-Service-Angriffe durchzuführen. Zudem versucht sie, sensible Dateien auf dem System auszulesen. Zu den unterstützten Befehlen gehören unter anderem die Auslösung von DoS-Angriffen, die Nutzung der Sicherheitslücke CVE-2023-1389, das Starten oder Stoppen von Modulen, das Ausführen von Linux-Befehlen sowie das Beenden aktiver Dienste.
Die Malware kann sich selbst verstecken, frühere Versionen von sich selbst löschen und sich weiterverbreiten, indem sie weitere Router infiziert. Einige der unterstützten Befehle sind:
- flooder – Löst einen Flood-Angriff aus
- exploiter – Nutzt die Sicherheitslücke CVE-2023-1389 aus
- start – Ein optionaler Parameter, der mit exploiter verwendet wird, um das Modul zu starten
- close – Stoppt die Funktion, die das Modul auslöst
- shell – Führt einen Linux-Shell-Befehl auf dem lokalen System aus
- killall – Beendet den Dienst
Die verwendete C2-IP-Adresse (2.237.57[.]70) sowie italienische Sprachfragmente im Code deuten darauf hin, dass ein unbekannter italienischer Bedrohungsakteur hinter Ballista steckt. Da die ursprüngliche C2-IP-Adresse nicht mehr aktiv ist, scheint sich die Malware jedoch weiterzuentwickeln. Eine neue Version nutzt TOR-Netzwerkdomains, um ihre Kommunikation zu verschleiern.
Laut einer Analyse der Angriffsoberfläche auf Censys sind mehr als 6000 Geräte potenziell von Ballista betroffen, insbesondere in Brasilien, Polen, dem Vereinigten Königreich, Bulgarien und der Türkei. Das Botnetz zielt auf Unternehmen aus verschiedenen Branchen wie Fertigung, Gesundheitswesen, Dienstleistungen und Technologie in den Vereinigten Staaten, Australien, China und Mexiko.
Obwohl Ballista Ähnlichkeiten mit bekannten Botnetzen wie Mirai oder Mozi aufweist, handelt es sich um eine eigenständige Malware mit spezifischen Funktionen.