TP-Link Archer 라우터 취약점 악용한 'Ballista' 봇넷 확산
이탈리아 해커들이 TP-Link Archer 라우터의 보안 취약점을 이용해 새로운 봇넷 'Ballista'를 전 세계적으로 확산시키고 있는 것으로 드러났습니다. Cato Network의 사이버 보안 전문가들은 이 공격이 TP-Link 라우터의 원격 코드 실행(RCE) 취약점, CVE-2023-1389를 악용하고 있다고 보고했습니다.
해커들은 첫 단계로 배쉬 스크립트를 이용해 악성 코드를 배포한 후, Tor 네트워크를 활용해 활동을 더욱 은밀하게 진행합니다. 악성 코드가 실행되면 TLS 암호화된 커맨드 및 제어(C2) 채널이 열려, 공격자들이 타겟 장치를 완전히 장악할 수 있습니다. 이를 통해 추가적인 RCE 및 서비스 거부(DoS) 공격을 실행할 수 있으며, 로컬 시스템의 민감한 파일을 읽고자 시도합니다.
이 공격의 기원은 이탈리아일 가능성이 높습니다. 이는 Cato가 발견한 이탈리아 IP 주소 및 이탈리아어 문자열을 포함한 이진 파일을 통해 추측할 수 있습니다. 'Ballista' 봇넷은 주로 제조업, 의료 및 헬스케어, 서비스, 기술 조직을 타깃으로 하며, 미국, 호주, 중국, 멕시코 등지에서 활동하고 있습니다. 현재 6,000개 이상의 불안정한 인터넷 연결 장치를 대상으로 공격이 진행되고 있으며, 여전히 지속 중입니다.
Ballista 봇넷으로부터 보호받기 위해서는 TP-Link Archer 라우터의 펌웨어를 최신 버전으로 업데이트하는 것이 중요합니다. 취약점을 해결한 펌웨어 1.1.4는 2023년 2월 19일자로 출시되었습니다.
출처 : 원문 보러가기