殭屍網路Ballista綁架尚未修補的TP-Link設備，逾6千臺遭感染

TP-Link於2023年3月修補旗下Archer AX21無線基地臺漏洞CVE-2023-1389，隔月就開始出現針對未修補用戶的相關攻擊行動，去年更出現同時有6個殭屍網路試圖綁架該型號無線基地臺的情況。事隔兩年，最近再度傳出利用此漏洞攻擊所造成的新資安事故。

資安業者Cato Networks指出，他們在今年1月上旬發現新一波的漏洞利用活動，殭屍網路Ballista鎖定美國、澳洲、中國、墨西哥而來，針對醫療保健、服務業、科技組織發動攻擊，試圖透過有效酬載注入來利用CVE-2023-1389，從而得到初始入侵管道，得逞後下載載入惡意程式的bash指令碼並執行，將Ballista植入受害裝置，目前有超過6千臺裝置受害。

為隱匿行蹤，此殭屍網路病毒使用82埠建立經加密處理的C2通道並進行通訊，自動嘗試利用CVE-2023-1389感染網際網路上的其他設備。一旦接收到C2的命令，該病毒能在受害設備執行Shell命令，或是進行DDoS攻擊。

值得留意的是，在調查的過程裡，攻擊者疑似察覺了研究人員的活動，而將殭屍網路搬遷到Tor網域，來增加追查的難度。

而對於攻擊者的身分，Cato Networks根據IP位址及惡意軟體支援義大利語字串的特徵，研判攻擊者來自義大利。