TP-Link 라우터 봇넷(Botnet) : Ballista의 위협

 

최근 티피링크(TP-Link) 라우터에 대한 새로운 봇넷(Botnet) 공격이 보고되었습니다. 이 봇넷은 TP-Link 라우터의 CVE-2023-1389라는 취약점을 이용하여 원격 코드 실행(RCE)을 가능하게 하여 자동으로 인터넷을 통해 퍼집니다. 이 취약점은 2023년 4월부터 Mirai 보넷과 같은 다른 악성 코드의 공격에 사용되었습니다. 주요 감염 지역은 브라질, 폴란드, 영국, 불가리아, 터키이며, 미국, 호주, 중국, 멕시코의 제조, 의료, 서비스 및 기술 기업을 대상으로 하고 있습니다

 

봇넷의 작동 방식 및 대응 방안

Ballista 봇넷은 TP-Link Archer AX-21 라우터의 취약점을 이용하여 자동으로 퍼집니다. 공격은 malware dropper와 shell script를 통해 시작되며, 이들은 다양한 시스템 아키텍처에 맞는 메인 바이너리를 다운로드하고 실행합니다. 악성 코드는 TLS 암호화된 명령 및 제어(C2) 채널을 설정하여 라우터를 제어하고, 원격 명령어 실행 및 서비스 거부(DoS) 공격을 수행할 수 있습니다. 또한, 악성 코드는 로컬 시스템의 민감한 파일을 읽을 수 있으며, 이전 버전의 자신을 삭제하고 다른 라우터로 퍼질 수 있습니다. 

 

Ballista 봇넷은 6,000개 이상의 장치를 감염시켰으며, 여전히 활발히 활동 중입니다. 이 봇넷은 주로 제조, 의료, 기술 기업을 대상으로 하고 있으며, 특히 미국, 호주, 중국, 멕시코의 기업들이 주요 목표입니다. 사용자는 라우터의 펌웨어를 최신으로 업데이트하여 취약점을 해결하는 것이 중요합니다. 또한, Cato CTRL과 같은 보안 솔루션을 통해 봇넷의 공격을 차단할 수 있습니다.

반응형

봇넷의 특징과 발전

Ballista 봇넷은 이탈리아 기반의 위협 행위자와 관련이 있을 것으로 추정됩니다. 초기에는 특정 IP 주소와 이탈리아어 문자열이 발견되었으나, 최근에는 TOR 네트워크를 사용하여 보다 은밀하게 작동하고 있습니다.

이 봇넷은 지속적으로 발전하고 있으며, 사용자들은 최신 보안 정보를 주의 깊게 모니터링해야 합니다.

이러한 보안 위협에 대비하여, 사용자는 자신의 장치의 보안을 강화하고 최신 정보를 통해 지속적으로 대응하는 것이 중요합니다.