Более 9000 маршрутизаторов ASUS скомпрометированы новым ботнетом под названием AyySSHush, который также был замечен в атаках на SOHO-маршрутизаторы от Cisco, D-Link и Linksys.
Кампания была обнаружена исследователями безопасности GreyNoise в середине марта 2025 года, которые сообщают, что она имеет признаки угрозы, хотя никаких конкретных проблем сделано не было.
Компания, занимающаяся мониторингом угроз, сообщает, что атаки сочетают в себе перебор учетных данных, обход аутентификации и использование старых уязвимостей для компрометации маршрутизаторов ASUS, включая модели RT-AC3100, RT-AC3200 и RT-AX55.
Злоумышленники используют старую уязвимость, отслеживаемая как CVE-2023-39780, чтобы добавить свой собственный открытый ключ SSH и включить демон SSH для прослушивания нестандартного порта TCP 53282. Такие модификации позволяют злоумышленникам сохранять доступ к устройству даже между перезагрузками и обновлениями прошивки.
«Поскольку ключ добавляется с помощью официальных функций ASUS, это изменение конфигурации сохраняется при всех обновлениях прошивки»
- поясняет другой отчет GreyNoise
«Если вы уже подвергались эксплуатации, обновление прошивки НЕ удалит бэкдор SSH».
Атака особенно скрытна, в ней нет вредоносных программ, а злоумышленники также отключают ведение журнала и AiProtection от Trend Micro, чтобы избежать обнаружения.
Характерно, что GreyNoise сообщает о регистрации всего 30 вредоносных запросов, связанных с этой кампанией, за последние три месяца, хотя было заражено 9000 маршрутизаторов ASUS.
Тем не менее, трех из этих запросов оказалось достаточно, чтобы инструмент анализа GreyNoise на основе искусственного интеллекта отметил их для проверки человеком.
Эта кампания, скорее всего, пересекается с деятельностью Sekoia под названием «Порочная ловушка», раскрытой на прошлой неделе, хотя французская компания по кибербезопасности сообщила, что угрожающие лица использовали CVE-2021-32030 для взлома маршрутизаторов ASUS.
В кампании, замеченной Sekoia, угрозы были направлены на SOHO-маршрутизаторы, SSL VPN, видеорегистраторы и контроллеры BMC от D-Link, Linksys, QNAP и Araknis Networks.
Точная операционная цель AyySSHush остается неясной, поскольку нет никаких признаков распределенного отказа в обслуживании (DDoS) или использования устройств для проксирования вредоносного трафика через маршрутизаторы ASUS.
Однако в случае взлома маршрутизатора, замеченного Sekoia, загружался и выполнялся вредоносный скрипт, перенаправляющий сетевой трафик со взломанной системы на сторонние устройства, контролируемые злоумышленником.
В настоящее время, судя по всему, кампания потихоньку создает сеть маршрутизаторов с обратной связью, чтобы заложить основу для будущего ботнета.
Защитите свои маршрутизаторы ASUS
Компания ASUS выпустила обновления безопасности, устраняющие CVE-2023-39780, для затронутых маршрутизаторов, хотя точное время их появления зависит от конкретной модели.
Пользователям рекомендуется как можно скорее обновить прошивку и обратить внимание на подозрительные файлы и добавление SSH-ключа злоумышленника (IoCs здесь) в файл „authorized_keys“.
Кроме того, GreyNoise указывает четыре IP-адреса, связанных с этой активностью, которые следует добавить в список блокировки.
101.99.91[.]151 101.99.94[.]173 79.141.163[.]179 111.90.146[.]237
При подозрении на компрометацию рекомендуется выполнить сброс настроек до заводских, чтобы очистить маршрутизатор, а затем заново настроить его с нуля, используя надежный пароль.
Комментарии (0)