バリスタボットネット

Ballista と呼ばれる新しいボットネット キャンペーンが特定されました。これは、パッチが適用されていない TP-Link Archer ルーターを明示的にターゲットにしています。サイバー セキュリティ研究者は、このボットネットがリモート コード実行 (RCE) の脆弱性 (CVE-2023-1389) を利用してインターネット全体に拡散していることを発見しました。この重大度の高い欠陥は TP-Link Archer AX-21 ルーターに影響を及ぼし、攻撃者がリモートでコマンドを実行してデバイスを制御できるようになります。

搾取のタイムライン

活発な悪用の証拠は、未知の脅威アクターが初めてこの脆弱性を利用してMiraiボットネットマルウェアを配布した 2023 年 4 月にまで遡ります。それ以来、この脆弱性はCondiやAndroxGh0stなどの他のマルウェアの拡散に利用され、その範囲と影響はさらに拡大しています。

攻撃の仕組み

攻撃シーケンスは、マルウェア ドロッパー (「dropbpb.sh」というシェル スクリプト) から始まり、標的のルーターに悪意のあるバイナリをダウンロードして実行します。このマルウェアは、MIPS、mipsel、armv5l、armv7l、x86_64 など、複数のシステム アーキテクチャで実行できるように設計されています。インストールされると、ポート 82 に暗号化されたコマンド アンド コントロール (C2) チャネルが確立され、攻撃者は感染したデバイスをリモートで制御できるようになります。

Ballistaボットネットの機能

Ballista がシステムに侵入すると、攻撃者は次のようなさまざまなコマンドを実行できるようになります。

• Flooder – フラッドベースのサービス拒否 (DoS) 攻撃を開始します。
• エクスプロイト– CVE-2023-1389 を悪用して追加のルーターに感染します。
• 開始– エクスプロイタ モジュールを開始します。
• 閉じる– エクスプロイト モジュールを停止します。
• シェル– 感染したシステム上で Linux シェル コマンドを実行します。
• Killall – 実行中のマルウェア サービスを終了します。

さらに、マルウェアは自身の存在の痕跡を消し去り、脆弱なデバイスを探し出して悪用することで自律的に拡散することができます。

イタリアとのつながりの兆候

Ballista のインフラストラクチャを分析すると、イタリアとのつながりが明らかになりました。マルウェアのバイナリにはイタリア語の文字列が含まれており、最初の C2 サーバーはイタリアの IP アドレス 2.237.57.70 でホストされていました。ただし、新しいバージョンではハードコードされた IP アドレスではなく TOR ネットワーク ドメインが使用されているため、マルウェアは継続的に開発されているようです。

世界的影響: 数千台のルーターが危険にさらされる

対象を絞った調査によると、すでに 6,000 台以上のデバイスが Ballista の影響を受けています。最も脆弱な地域には、ブラジル、ポーランド、英国、ブルガリア、トルコが含まれます。このボットネットは活発に進化しているため、パッチを適用していない世界中のルーターにとって依然として大きな脅威となっています。