발리스타 봇넷

Ballista라는 새로운 봇넷 캠페인이 발견되었으며, 패치되지 않은 TP-Link Archer 라우터를 명시적으로 표적으로 삼았습니다. 사이버 보안 연구원들은 봇넷이 원격 코드 실행(RCE) 취약성인 CVE-2023-1389를 이용하여 인터넷 전체로 확산된다는 것을 발견했습니다. 이 심각한 결함은 TP-Link Archer AX-21 라우터에 영향을 미쳐 공격자가 원격으로 명령을 실행하고 장치를 제어할 수 있습니다.

착취의 타임라인

활발한 악용의 증거는 2023년 4월로 거슬러 올라가는데, 알려지지 않은 위협 행위자들이 처음으로 이 취약성을 이용해 Mirai 봇넷 맬웨어를 배포했습니다. 그 이후로 Condi 와 AndroxGh0st를 포함한 다른 맬웨어 변종을 퍼뜨리는 데 활용되어 도달 범위와 영향력이 더욱 커졌습니다.

공격 작동 방식

공격 시퀀스는 악성 바이너리를 대상 라우터에 다운로드하고 실행하는 'dropbpb.sh'라는 이름의 셸 스크립트인 멀웨어 드로퍼로 시작합니다. 이 멀웨어는 MIPS, mipsel, armv5l, armv7l 및 x86_64를 포함한 여러 시스템 아키텍처에서 실행되도록 설계되었습니다. 설치되면 포트 82에서 암호화된 명령 및 제어(C2) 채널을 설정하여 공격자가 감염된 장치를 원격으로 제어할 수 있습니다.

Ballista Botnet의 기능

Ballista가 시스템 내부에 침투하면 공격자는 다음을 포함한 다양한 명령을 실행할 수 있습니다.

• Flooder – 플러드 기반 서비스 거부(DoS) 공격을 실행합니다.
• 익스플로이터 – CVE-2023-1389를 악용하여 추가 라우터를 감염시킵니다.
• 시작 – 익스플로이터 모듈을 시작합니다.
• 닫기 – 악용 모듈을 중지합니다.
• 셸 - 감염된 시스템에서 Linux 셸 명령을 실행합니다.
• Killall – 실행 중인 맬웨어 서비스를 종료합니다.

또한, 맬웨어는 취약한 장치를 찾아내 악용함으로써 스스로의 존재 흔적을 지울 수 있고 자율적으로 확산될 수도 있습니다.

이탈리아와의 연결의 징후

Ballista의 인프라를 분석한 결과 이탈리아와의 연관성이 드러났습니다. 맬웨어 바이너리에는 이탈리아어 문자열이 포함되어 있으며, 초기 C2 서버는 이탈리아 IP 주소인 2.237.57.70에 호스팅되었습니다. 그러나 맬웨어는 지속적으로 개발 중인 것으로 보이는데, 최신 버전은 이제 하드코딩된 IP 주소 대신 TOR 네트워크 도메인을 사용하기 때문입니다.

글로벌 영향: 수천 대의 라우터가 위험에 처함

타깃 검색 결과, 6,000개 이상의 기기가 이미 Ballista의 영향을 받은 것으로 나타났습니다. 가장 취약한 지역으로는 브라질, 폴란드, 영국, 불가리아, 터키가 있습니다. 활발한 진화를 감안할 때, 이 봇넷은 전 세계적으로 패치되지 않은 라우터에 여전히 상당한 위협으로 남아 있습니다.