資安監控公司GreyNoise近日發現一個名為「AyySSHush」的新型殭屍網路,已成功入侵超過9,000台華碩(ASUS) 路由器,並在設備中植入持續性SSH後門。該攻擊活動於2025年3月中旬被發現,研究人員認為具有國家級威脅行為者的特徵。
攻擊手法與影響範圍
攻擊者主要針對ASUS的RT-AC3100、RT-AC3200及RT-AX55等路由器型號,採用暴力破解登入憑證、繞過身份驗證機制及利用舊有漏洞等多重攻擊手段進行滲透。攻擊的核心在於利用CVE-2023-39780命令注入漏洞,攻擊者透過此漏洞將自己的SSH公鑰添加到系統中,並啟用SSH守護程序監聽非標準的TCP端口53282。這種攻擊手法不僅技術門檻相對較低,更重要的是能夠建立長期且穩定的遠端存取管道。
此次攻擊最令人擔憂的是其持續性特徵。GreyNoise研究人員指出:「由於攻擊者使用ASUS的官方功能添加金鑰,這項配置變更會在韌體升級後仍然存在。即使用戶升級韌體,也無法移除SSH後門。」
攻擊行為同時具有高度隱蔽性,攻擊者刻意不使用任何惡意軟體,並且會主動關閉系統日誌記錄功能,同時停用Trend Micro AiProtection防護功能,使得一般用戶難以察覺設備已遭入侵。
威脅情報分析
值得注意的是,儘管有9,000台路由器遭到感染,但GreyNoise在過去三個月僅記錄到30個相關的惡意請求,顯示攻擊者刻意保持低調。
研究人員推測,
此次攻擊活動可能與法國資安公司Sekoia追蹤的「Vicious Trap」行動有關。Sekoia報告指出,威脅行為者同樣針對D-Link、Linksys、QNAP及Araknis Networks等品牌的SOHO路由器、SSL VPN、DVR及BMC控制器進行攻擊。
目前攻擊者的最終目標仍不清楚,研究人員未發現分散式阻斷服務(DDoS)攻擊或利用路由器代理惡意流量的跡象。但根據Sekoia的觀察,在路由器入侵事件中,攻擊者會下載並執行惡意腳本,將網路流量重定向至其控制的第三方設備。
專家認為,攻擊者目前正在建立後門路由器網路,為未來建構大型殭屍網路奠定基礎。
防護建議
ASUS已針對受影響的路由器型號發布安全更新,修補CVE-2023-39780漏洞,用戶應立即採用行動。
- 立即更新韌體至最新版本
- 檢查可疑檔案及authorized_keys檔案中是否有攻擊者的SSH金鑰
- 封鎖惡意IP位址:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
如懷疑設備已遭入侵,建議進行以下步驟:
- 執行出廠重置
- 使用強密碼重新設定所有配置
- 確保韌體為最新版本
本文轉載自bleepingcomputer。