- 19,444
- 40
- 8 Ноя 2022
Логов нет, антивирус спит, но ты уже в ловушке.
Более 9 тысяч маршрутизаторов ASUS оказались под контролем нового Для просмотра ссылки Войдиили Зарегистрируйся , получившего название AyySSHush. Для просмотра ссылки Войди или Зарегистрируйся исследователей из GreyNoise, вредоносная кампания стартовала в марте 2025 года и нацелена не только на устройства ASUS, но и на домашние маршрутизаторы Cisco, D-Link и Linksys. Основные цели — модели RT-AC3100, RT-AC3200 и RT-AX55.
Атака сочетает Для просмотра ссылки Войдиили Зарегистрируйся , обход аутентификации и использование устаревших уязвимостей. В частности, злоумышленники эксплуатируют Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся , которая позволяет им внедрить собственный SSH-ключ в конфигурацию устройства и активировать демон SSH на нестандартном порту TCP 53282. Эта настройка сохраняется даже после перезагрузки и обновления прошивки, поскольку изменения вносятся с использованием легитимных функций ASUS.
Особенность атаки — отсутствие какого-либо вредоносного ПО. Вместо этого злоумышленники отключают системное логирование и защитный функционал AiProtection от Trend Micro, тем самым сводя к минимуму вероятность обнаружения. За последние три месяца GreyNoise зафиксировала всего 30 подозрительных запросов, связанных с данной кампанией, однако, по их оценке, инфицированы уже свыше 9 тысяч маршрутизаторов ASUS.
Несмотря на масштаб заражения, характер атак остаётся скрытным. Нет признаков использования заражённых устройств в DDoS-атаках или для проксирования трафика. Однако параллельное исследование от компании Sekoia, которое касается аналогичной кампании под названием Для просмотра ссылки Войдиили Зарегистрируйся , показывает, что на скомпрометированных маршрутизаторах выполнялся вредоносный скрипт, перенаправляющий сетевой трафик на инфраструктуру атакующего. Помимо ASUS, Sekoia зафиксировала атаки на VPN, DVR и BMC-контроллеры производителей D-Link, Linksys, QNAP и Araknis Networks, в том числе с использованием уязвимости Для просмотра ссылки Войди или Зарегистрируйся .
Исходя из наблюдаемого поведения, AyySSHush строит основу для распределённой сети устройств с удалённым доступом, которую можно использовать в будущем. Пока же цели кампании остаются неясными.
Тем временем, ASUS выпустила обновления безопасности, устраняющие CVE-2023-39780, но сроки появления фиксов различаются для разных моделей. Владельцам маршрутизаторов рекомендуется как можно скорее обновить прошивку, проверить файл «authorized_keys» на предмет наличия посторонних записей и обратить внимание на появление подозрительных файлов.
GreyNoise также опубликовала список IP-адресов, связанных с активностью AyySSHush, и рекомендует добавить их в список блокировки: 101.99.91.151; 101.99.94.173; 79.141.163.179; 111.90.146.237.
При наличии подозрения на заражение, рекомендуется выполнить сброс маршрутизатора до заводских настроек и полностью перенастроить его, установив сложный пароль.
Более 9 тысяч маршрутизаторов ASUS оказались под контролем нового Для просмотра ссылки Войди
Атака сочетает Для просмотра ссылки Войди
Особенность атаки — отсутствие какого-либо вредоносного ПО. Вместо этого злоумышленники отключают системное логирование и защитный функционал AiProtection от Trend Micro, тем самым сводя к минимуму вероятность обнаружения. За последние три месяца GreyNoise зафиксировала всего 30 подозрительных запросов, связанных с данной кампанией, однако, по их оценке, инфицированы уже свыше 9 тысяч маршрутизаторов ASUS.
Несмотря на масштаб заражения, характер атак остаётся скрытным. Нет признаков использования заражённых устройств в DDoS-атаках или для проксирования трафика. Однако параллельное исследование от компании Sekoia, которое касается аналогичной кампании под названием Для просмотра ссылки Войди
Исходя из наблюдаемого поведения, AyySSHush строит основу для распределённой сети устройств с удалённым доступом, которую можно использовать в будущем. Пока же цели кампании остаются неясными.
Тем временем, ASUS выпустила обновления безопасности, устраняющие CVE-2023-39780, но сроки появления фиксов различаются для разных моделей. Владельцам маршрутизаторов рекомендуется как можно скорее обновить прошивку, проверить файл «authorized_keys» на предмет наличия посторонних записей и обратить внимание на появление подозрительных файлов.
GreyNoise также опубликовала список IP-адресов, связанных с активностью AyySSHush, и рекомендует добавить их в список блокировки: 101.99.91.151; 101.99.94.173; 79.141.163.179; 111.90.146.237.
При наличии подозрения на заражение, рекомендуется выполнить сброс маршрутизатора до заводских настроек и полностью перенастроить его, установив сложный пароль.
- Источник новости
- www.securitylab.ru
