Тысячи маршрутизаторов TP-Link заражены ботнетом для распространения вредоносных программ

Ботнет Ballista активно эксплуатирует уязвимость высокой степени опасности для выполнения удаленного кода (CVE-2023-1389) в маршрутизаторах TP-Link Archer AX-21, заражая более 6,000 устройств, преимущественно в Бразилии, Польше, Великобритании, Болгарии и Турции. Согласно новому отчету команды Cato CTRL, ботнет Ballista эксплуатирует уязвимость для выполнения удаленного кода, что напрямую влияет на маршрутизатор TP-Link Archer AX-21. Ботнет может привести к внедрению команд, что делает возможным выполнение удаленного кода (RCE), позволяя вирусу распространяться автоматически по всему интернету.

Эта уязвимость высокой степени опасности (отслеживается как CVE-2023-1389) также использовалась для распространения других семейств вредоносного ПО с апреля 2023 года, когда она была применена в атаках с использованием ботнета Mirai. Эта уязвимость также связана с атаками вредоносных программ Condi и AndroxGh0st.

Последняя попытка заражения ботнетом Ballista была совершена 17 февраля 2025 года, а Cato CTRL первым обнаружил её 10 января 2025 года. Из тысяч зараженных устройств большая часть сконцентрирована в Бразилии, Польше, Великобритании, Болгарии и Турции; ботнет целенаправленно атакует организации в сферах промышленности, медицины/здравоохранения, услуг и технологий в США, Австралии, Китае и Мексике.