Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга



 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 05-29-2025, 06:37 PM

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default



Более 9000 маршрутизаторов Asus были взломаны ботнетом AyySSHush, который также атакует SOHO-роутеры Cisco, D-Link и Linksys.



Эту вредоносную кампанию еще в середине марта 2025 года обнаружили исследователи GreyNoise. По словам экспертов, эти атаки могут быть связаны с некими правительственными хакерами, хотя конкретные названия группировок в отчете не фигурируют.



По данным экспертов, атаки AyySSHush сочетают в себе брутфорс для подбора учетных данных, обход аутентификации и использование старых уязвимостей для взлома маршрутизаторов Asus, включая модели RT-AC3100, RT-AC3200 и RT-AX55.



В частности, злоумышленники используют старую уязвимость CVE-2023-39780, связанную с инъекциями команд, чтобы добавить собственный публичный ключ SSH и позволить демону SSH прослушивать нестандартный TCP-порт 53282. Эти изменения позволяют злоумышленникам получить бэкдор-доступ к устройству и сохранить его даже после перезагрузки и обновлений прошивки.










«Поскольку ключ добавляется с помощью официальных функций Asus, это изменение конфигурации сохраняется при обновлении прошивки, — объясняют в GreyNoise. — Если вы подверглись атаке, обновление прошивки не удалит SSH-бэкдор».

Исследователи подчеркивают, что атаки AyySSHush получаются особенно скрытными, так как хакеры не используют вредоносное ПО, а также отключают ведение журналов и защиту AiProtection от Trend Micro, чтобы избежать обнаружения.



При этом GreyNoise сообщает об обнаружении всего 30 вредоносных запросов, связанных с этой кампанией, за последние три месяца, тогда как ботнет уже заразил более 9000 маршрутизаторов Asus.







Предполагается, что эта кампания может пересекаться с активностью Vicious Trap, о которой недавно предупредили аналитики Sekoia. Тогда исследователи отмечали, что злоумышленники применяют уязвимость CVE-2021-32030 для взлома маршрутизаторов Asus.



В целом обнаруженная Sekoia кампания нацелена на SOHO-маршрутизаторы, SSL-VPN, DVR, BMC-контроллеры D-Link, а также устройства Linksys, Qnap и Araknis Networks. Исследователи предполагали, что злоумышленники создают огромную ханипот-сеть из взломанных устройств, и с ее помощью могут «наблюдать за попытками эксплуатации в разных средах, собирать непубличные эксплоиты и 0-day, а также повторно использовать доступ, полученный другими хакерами».



Как и в случае с ViciousTrap, точные цели операторов AyySSHush неясны до конца, поскольку зараженные устройства не используют для DDoS-атак или проксирования вредоносного трафика.



Исследователи отмечают, что разработчики Asus выпустили патчи для уязвимости CVE-2023-39780, однако их доступность зависит от модели конкретного маршрутизатора.



Пользователям рекомендуется как можно скорее обновить прошивку, провести проверку на наличие подозрительных файлов, а также поискать SSH-ключ злоумышленников в файле authorized_keys. Индикаторы компрометации доступны здесь.



Также эксперты GreyNoise опубликовали четыре IP-адреса, которые связаны с вредоносной активностью и должны быть внесены в черные списки: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 и 111.90.146[.]237.



При обнаружении компрометации роутера, рекомендуется выполнить сброс настроек устройства до заводских, а затем повторно настроить его, используя надежный пароль.



@ xakep.ru
 

Tags
NULL


Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is On

Forum Jump




All times are GMT. The time now is 11:22 PM.