29/05/25
Более 9 тысяч маршрутизаторов ASUS оказались под контролем нового ботнета, получившего название AyySSHush. По данным исследователей из GreyNoise, вредоносная кампания стартовала в марте 2025 года и нацелена не только на устройства ASUS, но и на домашние маршрутизаторы Cisco, D-Link и Linksys. Основные цели — модели RT-AC3100, RT-AC3200 и RT-AX55.
Атака сочетает брутфорс логинов, обход аутентификации и использование устаревших уязвимостей. В частности, злоумышленники эксплуатируют уязвимость CVE-2023-39780, которая позволяет им внедрить собственный SSH-ключ в конфигурацию устройства и активировать демон SSH на нестандартном порту TCP 53282. Эта настройка сохраняется даже после перезагрузки и обновления прошивки, поскольку изменения вносятся с использованием легитимных функций ASUS, пишет Securitylab.
Особенность атаки — отсутствие какого-либо вредоносного ПО. Вместо этого злоумышленники отключают системное логирование и защитный функционал AiProtection от Trend Micro, тем самым сводя к минимуму вероятность обнаружения. За последние три месяца GreyNoise зафиксировала всего 30 подозрительных запросов, связанных с данной кампанией, однако, по их оценке, инфицированы уже свыше 9 тысяч маршрутизаторов ASUS.
Несмотря на масштаб заражения, характер атак остаётся скрытным. Нет признаков использования заражённых устройств в DDoS-атаках или для проксирования трафика. Однако параллельное исследование от компании Sekoia, которое касается аналогичной кампании под названием Vicious Trap, показывает, что на скомпрометированных маршрутизаторах выполнялся вредоносный скрипт, перенаправляющий сетевой трафик на инфраструктуру атакующего. Помимо ASUS, Sekoia зафиксировала атаки на VPN, DVR и BMC-контроллеры производителей D-Link, Linksys, QNAP и Araknis Networks, в том числе с использованием уязвимости CVE-2021-32030.
Исходя из наблюдаемого поведения, AyySSHush строит основу для распределённой сети устройств с удалённым доступом, которую можно использовать в будущем. Пока же цели кампании остаются неясными.
