Unleashed Chaos: Condi 맬웨어가 DDoS 봇넷 공격을 위해 TP-Link Wi-Fi 라우터를 제어합니다.

TP-Link Archer AX21(AX1800) Wi-Fi 공유기의 보안 취약점을 악용한 신종 악성코드 Condi가 심각한 위협으로 등장했습니다. 주요 목표는 이러한 손상된 장치를 활용하여 강력한 DDoS(Distributed Denial-of-Service) 봇넷으로 조합하는 것입니다. 연구원들은 2023년 5월 종료 이후 캠페인 강도가 급격히 증가했다고 지적했습니다.

콘디 뒤에 누가 있습니까?

Condi의 주모자는 온라인 모니커 zxcr9999 로 알려진 개인으로, 텔레그램 채널 Condi Network를 통해 자신의 불법 활동을 적극적으로 홍보합니다. 2022년 5월부터 공격자는 DDoS-as-a-Service를 제공하고 멀웨어의 소스 코드를 판매하여 자신의 봇넷에서 수익을 창출했습니다. 보안 연구원들은 멀웨어를 철저히 분석하여 동일한 호스트에서 경쟁하는 봇넷을 제거하는 능력을 발견했습니다. 그러나 Condi에는 지속성 메커니즘이 없기 때문에 시스템 재부팅 후에도 살아남을 수 없습니다.

시스템 재부팅 후 지속성의 한계를 극복하기 위해 Condi는 시스템 종료 또는 재부팅을 담당하는 여러 바이너리를 삭제하는 조치를 취합니다. 이러한 바이너리에는 /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/이 포함됩니다. 중지 및 /usr/bin/halt. Mirai 봇넷이 이전에 표적 취약점을 악용했다는 점은 주목할 가치가 있습니다.

널리 퍼진 다른 악성코드와 달리 Condi는 스캐너 모듈을 사용하여 CVE-2023-1389(CVSS 점수: 8.8)에 취약한 TP-Link Archer AX21 라우터를 식별합니다. Condi는 일부 봇넷과 같은 무차별 대입 공격을 사용하는 대신 원격 서버에서 얻은 셸 스크립트를 실행하여 식별된 장치에 악성코드를 저장합니다.

보안 분석가에 따르면 Condi의 여러 인스턴스가 나타나 다양한 알려진 보안 취약점을 악용하여 전파합니다. 이는 패치되지 않은 소프트웨어를 실행하는 장치가 특히 이 봇넷 맬웨어의 표적이 되기 쉽다는 것을 나타냅니다. 공격적인 수익 창출 전술 외에도 Condi의 주요 목표는 장치를 손상시키고 강력한 DDoS 봇넷을 설정하는 것입니다. 그런 다음 이 봇넷을 다른 위협 행위자에게 임대하여 대상 웹 사이트 및 서비스에 TCP 및 UDP 플러드 공격을 실행할 수 있습니다.

봇넷을 무력화하는 것은 안전하고 안정적인 디지털 생태계를 유지하는 데 가장 중요합니다. Condi 맬웨어와 같은 봇넷은 패치되지 않은 소프트웨어의 취약성을 악용하고 손상된 장치 네트워크를 DDoS 공격과 같은 유해한 활동에 활용할 수 있습니다. 이러한 공격은 온라인 서비스를 방해하고 중요한 인프라의 무결성과 가용성을 크게 위협합니다. 개인, 조직 및 보안 전문가는 경계를 유지하고 소프트웨어를 최신 상태로 유지하고 강력한 보안 조치를 사용하여 봇넷 위협을 감지하고 완화해야 합니다. 봇넷을 적극적으로 무력화함으로써 우리는 디지털 환경을 보호하고 모든 사용자를 위해 더 안전한 온라인 환경에 기여할 수 있습니다.