Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Новый ботнет AyySSHush скомпрометировал более 9000 роутеров Asus (http://txgate.io:443/showthread.php?t=51300670)

Artifact 05-29-2025 06:37 PM
<div id="post_message_794363">

Более 9000 маршрутизаторов Asus были взломаны ботнетом AyySSHush, который также атакует SOHO-роутеры Cisco, D-Link и Linksys.<br/>
<br/>
Эту вредоносную кампанию еще в середине марта 2025 года обнаружили исследователи <a href="https://www.greynoise.io/blog/stealthy-backdoor-campaign-affecting-asus-routers" target="_blank">GreyNoise</a>. По словам экспертов, эти атаки могут быть связаны с некими правительственными хакерами, хотя конкретные названия группировок в отчете не фигурируют.<br/>
<br/>
По данным экспертов, атаки AyySSHush сочетают в себе брутфорс для подбора учетных данных, обход аутентификации и использование старых уязвимостей для взлома маршрутизаторов Asus, включая модели RT-AC3100, RT-AC3200 и RT-AX55.<br/>
<br/>
В частности, злоумышленники используют старую уязвимость <a href="https://nvd.nist.gov/vuln/detail/CVE-2023-39780" target="_blank">CVE-2023-39780</a>, связанную с инъекциями команд, чтобы добавить собственный публичный ключ SSH и позволить демону SSH прослушивать нестандартный TCP-порт 53282. Эти изменения позволяют злоумышленникам получить бэкдор-доступ к устройству и сохранить его даже после перезагрузки и обновлений прошивки.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Поскольку ключ добавляется с помощью официальных функций Asus, это изменение конфигурации сохраняется при обновлении прошивки, — <a href="http://www.labs.greynoise.io/grimoire/2025-03-28-ayysshush/" target="_blank">объясняют </a>в GreyNoise. — Если вы подверглись атаке, обновление прошивки не удалит SSH-бэкдор».</font>
</td>
</tr>
</table>
</div>Исследователи подчеркивают, что атаки AyySSHush получаются особенно скрытными, так как хакеры не используют вредоносное ПО, а также отключают ведение журналов и защиту AiProtection от Trend Micro, чтобы избежать обнаружения.<br/>
<br/>
При этом GreyNoise сообщает об обнаружении всего 30 вредоносных запросов, связанных с этой кампанией, за последние три месяца, тогда как ботнет уже заразил более 9000 маршрутизаторов Asus.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/515009/timeline1.jpg"/><br/>
<br/>
Предполагается, что эта кампания может пересекаться с активностью <a href="https://xakep.ru/2025/05/27/vicioustrap/" target="_blank">Vicious </a>Trap, о которой недавно предупредили аналитики Sekoia. Тогда исследователи отмечали, что злоумышленники применяют уязвимость CVE-2021-32030 для взлома маршрутизаторов Asus.<br/>
<br/>
В целом обнаруженная Sekoia кампания нацелена на SOHO-маршрутизаторы, SSL-VPN, DVR, BMC-контроллеры D-Link, а также устройства Linksys, Qnap и Araknis Networks. Исследователи предполагали, что злоумышленники создают огромную ханипот-сеть из взломанных устройств, и с ее помощью могут «наблюдать за попытками эксплуатации в разных средах, собирать непубличные эксплоиты и 0-day, а также повторно использовать доступ, полученный другими хакерами».<br/>
<br/>
Как и в случае с ViciousTrap, точные цели операторов AyySSHush неясны до конца, поскольку зараженные устройства не используют для DDoS-атак или проксирования вредоносного трафика.<br/>
<br/>
Исследователи отмечают, что разработчики Asus выпустили патчи для уязвимости CVE-2023-39780, однако их доступность зависит от модели конкретного маршрутизатора.<br/>
<br/>
Пользователям рекомендуется как можно скорее обновить прошивку, провести проверку на наличие подозрительных файлов, а также поискать SSH-ключ злоумышленников в файле authorized_keys. Индикаторы компрометации доступны <a href="https://www.labs.greynoise.io/grimoire/2025-03-28-ayysshush/" target="_blank">здесь</a>.<br/>
<br/>
Также эксперты GreyNoise опубликовали четыре IP-адреса, которые связаны с вредоносной активностью и должны быть внесены в черные списки: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 и 111.90.146[.]237.<br/>
<br/>
При обнаружении компрометации роутера, рекомендуется выполнить сброс настроек устройства до заводских, а затем повторно настроить его, используя надежный пароль.<br/>
<br/>
<a href="https://xakep.ru/2025/05/29/ayysshush/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 04:40 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.