New Ballista Botnet spreads using TP-Link flaw. Is it an Italian job?
New Ballista Botnet spreads using TP-Link flaw. Is it an Italian job?
The Ballista botnet is exploiting an unpatched TP-Link vulnerability, targeting over 6,000 Archer routers, Cato CTRL researchers warn.
securityaffairs.com
- 개요
- Ballista 봇넷은 TP-Link Archer AX21 라우터의 원격 코드 실행(RCE) 취약점 CVE-2023-1389를 악용
- 해당 취약점은 인증 없이 명령을 주입할 수 있는 명령어 삽입(Command Injection) 취약점으로, 웹 관리 인터페이스의 locale API에서 발생
- 2022년 Pwn2Own Toronto에서 처음 보고되었으며, LAN/WAN 양측 모두에서 악용 가능
- 공격 벡터 및 전개 방식
- MITRE ATT&CK 기반으로 볼 때 주요 전술 및 기술은 다음과 같음
- T1190 (공개된 애플리케이션 취약점 악용): /cgi-bin/luci;stok=/locale 경로의 입력값 미검증
- T1059.004 (UNIX 셸을 통한 명령어 실행): bash 명령어로 dropper 실행
- 공격 흐름
- 외부 IP(2.237.57[.]70:81)로부터 dropbpb.sh 파일 다운로드 및 실행
- dropper는 실행 후 자기 삭제, 다른 디렉토리로 이동하여 악성 바이너리 재다운로드 및 실행
- 루트 권한 획득, 시스템 탐색 및 백도어 설치
- C2 통신은 암호화된 프로토콜로 포트 82를 사용
- MITRE ATT&CK 기반으로 볼 때 주요 전술 및 기술은 다음과 같음
- 봇넷 기능 및 지속성
- 기존 악성 프로세스 제거 및 자기 삭제 기능으로 탐지 회피
- 시스템 설정 파일 읽기, 네트워크 정보 수집을 통해 탐색 단계 수행
- C2 명령어 구조
shell: 원격 명령 실행을 위한 셸 접근 허용 (지속성 확보 및 정보 탈취 가능)flooder: DoS/DDoS 공격 수행을 위한 모듈로, RAW 소켓을 통해 암호화된 명령 수신 및 다중 스레드 공격 수행
- 봇넷은 모듈화 설계로 추후 다양한 공격 유형 확장 가능성 있음
- 감염 현황 및 공격자 특성
- 전 세계 6,500개 이상의 TP-Link 장비가 취약 상태
- 주요 피해 대상
- 미국, 호주, 중국, 멕시코의 제조, 의료, 기술, 서비스 산업
- 공격자 관련 특이사항
- C2 명령어 및 코드 내 이탈리아어 문자열
- 악성 서버 및 C2 주소에 이탈리아 기반 IP 주소 존재
- Ballista는 고대 로마의 공격 무기를 따온 명칭으로, 공격자가 이탈리아 기반일 가능성 제기
- 보안 권고
- CVE-2023-1389에 대한 보안 패치 적용 필요 (현재 TP-Link 일부 모델은 아직 미패치 상태)
- TP-Link 장비는 미국 내 중국 관련 보안 우려로 감시 대상이며, 조직 내 IoT 자산 식별 및 관리가 필수
- 다음과 같은 보안 조치 필요
- 외부 HTTP/81 및 C2 통신 포트(82)에 대한 트래픽 필터링
- 명령어 삽입 방지를 위한 웹 인터페이스 입력 검증 점검
- IoT 보안 프레임워크 도입 및 기기 분리 네트워크 구성
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 메타, 동의 없는 개인정보 제3자 제공 사건 대법원 최종 패소 (0) | 2025.04.15 |
|---|---|
| 모두투어 개인정보 유출 사건 및 개인정보보호법 위반 조치 (0) | 2025.04.15 |
| Medusa 랜섬웨어 위협 분석 보고서 (2025년 3월 기준) (0) | 2025.04.15 |
| MirrorFace APT 그룹의 Windows Sandbox 악용 공격 분석 (0) | 2025.04.15 |
| 고도화된 MFA 우회 기법을 이용한 사용자 계정 탈취 공격 분석 (0) | 2025.04.15 |