Ballista 봇넷, TP-Link 라우터 취약점 악용해 6000대 이상 기기 감염
2025-03-11
새로운 봇넷인 Ballista가 패치되지 않은 TP-Link Archer AX-21 라우터의 심각한 취약점(CVE-2023-1389)을 악용하여 6000대 이상의 기기를 감염시켰습니다. 이 취약점으로 인해 원격 코드 실행이 가능해지면서 Ballista는 명령어 주입을 통해 자동으로 확산됩니다. 주로 브라질, 폴란드, 영국, 불가리아, 터키의 제조, 의료, 서비스, 기술 관련 기관이 표적이 되었지만 미국, 호주, 중국, 멕시코에도 영향을 미쳤습니다. Ballista는 악성코드 드로퍼와 셸 스크립트를 사용하여 주요 바이너리를 실행하고, C2 채널을 설립하여 감염된 기기를 제어하고, DoS 공격과 기밀 파일 읽기를 수행합니다. 연구자들은 이탈리아 기원을 의심하지만 Tor 네트워크 사용은 지속적인 개발과 능동적인 회피 기술을 시사합니다.
기술
봇넷