HackerNews 编译,转载请注明出处:
网络安全公司GreyNoise披露,新型僵尸网络“AyySSHush”已入侵全球超9000台华硕路由器,并同步针对思科、D-Link等品牌的SOHO设备。该活动最早于2025年3月中旬被发现,攻击手法呈现国家级黑客组织特征。
攻击者采用三重渗透策略:
- 暴力破解:尝试常见弱口令组合身份验证绕过:利用老旧漏洞突破防线漏洞利用:重点针对华硕RT-AC3100、RT-AC3200及RT-AX55型号设备,通过命令注入漏洞CVE-2023-39780植入SSH公钥
值得注意的是,攻击者通过官方功能添加密钥,使得配置更改在固件升级后仍保留。后门程序将SSH守护进程绑定至非常规端口53282,同时关闭系统日志与趋势科技AiProtection防护功能,实现隐蔽驻留。
法国安全公司Sekoia追踪的“Vicious Trap”活动与该僵尸网络存在技术重叠。攻击者除路由器外,还针对SSL VPN、DVR设备及基板管理控制器实施入侵。观察到恶意脚本通过重定向受控设备流量至第三方节点,但尚未发现DDoS攻击或流量代理行为,推测其正构建基础设施为后续攻击铺路。
华硕已发布受影响型号固件更新(具体发布时间因型号而异),建议用户:
- 立即升级至最新固件版本检查路由器“authorized_keys”文件是否包含攻击者SSH密钥(IoC列表参见原文)将关联IP地址(101.99.91[.]151等四组)加入防火墙黑名单如遇可疑活动,执行恢复出厂设置并采用高强度密码重新配置
GreyNoise监测数据显示,过去三个月仅捕获30次恶意请求,但成功入侵设备达九千余台,显示攻击具备高度精准性。研究人员提醒,传统固件升级无法清除已植入的后门,彻底排查需结合日志审计与密钥验证。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
