近期,Cato CTRL 团队发现了一项针对 TP-Link Archer 系列路由器的新型僵尸网络攻击活动——Ballista。攻击者利用 TP-Link Archer AX-21 路由器中的远程代码执行(RCE)漏洞(CVE-2023-1389),在互联网上大规模传播恶意软件。
漏洞概述
CVE-2023-1389 是一个高危安全漏洞,影响 TP-Link Archer AX-21 路由器。该漏洞允许攻击者通过命令注入实现远程代码执行(RCE),进而控制受害设备。
该漏洞自 2023 年 4 月起就已遭到利用,当时黑客利用其传播 Mirai 僵尸网络恶意软件。此后,该漏洞也被用于传播其他恶意软件家族,如 Condi 和 AndroxGh0st。Cato CTRL 团队于 2025 年 1 月 10 日首次检测到 Ballista 攻击活动,并于 2 月 17 日记录了最近的一次攻击尝试。
Ballista 攻击方式
Ballista 僵尸网络的攻击流程主要包括以下步骤:
- 恶意软件投递:攻击者使用一个 shell 脚本(
dropbpb.sh)下载并执行针对不同系统架构(如 mips、mipsel、armv5l、armv7l 和 x86_64)的主二进制文件。 - 建立 C2 连接:恶意软件在端口 82 上建立加密的命令与控制(C2)通道,使攻击者能够远程控制受害设备。
- 执行攻击指令:攻击者可远程执行 Linux shell 命令,并发起拒绝服务(DoS)攻击。已知支持的命令包括:
flooder:触发洪水攻击exploiter:利用 CVE-2023-1389 漏洞start:启动漏洞利用模块close:停止模块运行shell:在本地系统上执行 Linux 命令killall:终止相关进程
- 隐蔽性增强:恶意软件能够终止自身的早期实例,并在执行后删除自身,以减少被检测的风险。
- 横向传播:恶意软件会尝试攻击其他 TP-Link Archer 设备,以扩大感染范围。
攻击者身份与影响范围
Cato CTRL 的研究表明,Ballista 僵尸网络可能由未知的意大利黑客组织操纵。分析发现,其 C2 服务器 IP 地址(2.237.57[.]70)位于意大利,同时恶意软件二进制文件中包含意大利语字符串。
目前,该僵尸网络仍在活跃开发中。最新的恶意软件版本已放弃使用硬编码 IP 地址,而是改用 TOR 网络域名进行 C2 通信,以增强匿名性。
据 Censys 攻击面管理平台的统计,已有超过 6,000 台设备感染了 Ballista,主要分布在巴西、波兰、英国、保加利亚和土耳其。此外,该僵尸网络还针对美国、澳大利亚、中国和墨西哥的制造业、医疗健康、服务业及科技行业组织。
如何防范?
针对 CVE-2023-1389 漏洞的攻击仍在持续,因此建议 TP-Link Archer 路由器用户立即采取以下措施:
- 升级固件:检查 TP-Link 官方网站,及时升级到最新的安全补丁。
- 关闭远程管理功能:如果不需要远程访问,建议关闭路由器的远程管理功能,以减少攻击面。
- 更改默认凭据:使用强密码,并避免使用默认的路由器管理账户密码。
- 监控网络活动:定期检查设备连接情况,留意异常流量和未知设备。
- 启用防火墙:使用防火墙规则限制对路由器管理接口的访问。
