Ballistaボットネット、TP-Linkルーターの脆弱性を悪用し6000台以上の機器に感染
2025-03-11
新しいボットネットであるBallistaは、パッチが適用されていないTP-Link Archer AX-21ルーターの高リスク脆弱性(CVE-2023-1389)を悪用しており、6000台以上の機器に感染しています。この脆弱性によりリモートコード実行が可能になり、Ballistaはコマンドインジェクションを通じて自動的に拡散します。主にブラジル、ポーランド、英国、ブルガリア、トルコで製造、医療、サービス、テクノロジー関連の組織が標的となっていますが、米国、オーストラリア、中国、メキシコにも影響が出ています。Ballistaはマルウェアドロッパーとシェルスクリプトを使用してメインバイナリを実行し、C2チャネルを確立して感染機器を制御し、DoS攻撃や機密ファイルの読み取りを実行します。研究者らはイタリア起源を疑っていますが、Torネットワークの使用は、継続的な開発とアクティブな回避技術を示唆しています。