New AyySSHush botnet compromised over 9,000 ASUS routers, adding a persistent SSH backdoor
2025/05/29 SecurityAffairs — AyySSHush ボットネットが ASUS ルーター 9,000台以上をハッキングし、永続的な SSH バックドアを追加したことが明らかになった。それを発見した GreyNoise は、「AI を活用するネットワーク・トラフィック分析ツール SIFT を開発したことで、新たな攻撃手法を悪用しようとする複数の異常なネットワーク・ペイロードを、一切の労力をかけずに検出した。それらは、ASUS ルーター上の TrendMicro セキュリティ機能を無効化し、ルーターに搭載されている ASUS AiProtection 機能の脆弱性などを攻撃するものだった」と述べている。
2025年3月18日にも GreyNoise は、ステルス性の攻撃キャンペーンを発見している。このキャンペーンを展開した攻撃者は、インターネットに公開されている数千台の ASUS ルーターへの永続的なアクセスを試行していた。その攻撃者は、認証バイパスや正規の設定の悪用といった巧妙な戦術を用いて、ルーターの再起動/アップデートの後も、制御を維持しながら検出を回避していた。攻撃者の身元は不明だが、このキャンペーンは、資金力のある洗練された攻撃者が、秘密裏にボットネット基盤を構築している兆候を示している。
GreyNoise が発表した最新レポートには、「GreyNoise は、インターネットに公開されている数千台の ASUS ルーターに対して、攻撃者が不正かつ永続的にアクセスするという、進行中のエクスプロイト・キャンペーンを確認した。この攻撃者の、アクセスは再起動やファームウェアのアップデート後も維持されるため、攻撃者は影響を受けたデバイスを永続的に制御できる」と記されていた。
専門家が確認したペイロードは、Out-Of-Box コンフィグレーションの、ASUS RT-AC3100/RT-AC3200 のみを標的としていた。
さらに GreyNoise は、ASUS RT-AX55 v3.0.0.4.386.51598 に存在する、認証コマンド・インジェクションの脆弱性 CVE-2023-39780 の悪用と、任意のシステム・コマンドを実行するペイロードも発見した。
この攻撃者は、コマンド・インジェクションの脆弱性を悪用し、SSH キーを追加してポート 53282 へのアクセスを有効化することで、再起動やアップデートの後であっても、永続的なバックドア・アクセスを確保していた。
GreyNoise が公開した詳細な技術分析レポートには、「このペイロードは、ASUS ルーターのビルトイン機能を悪用して、LAN/WAN で SSH を有効化し、それを TCP/53282 にバインドし、攻撃者が管理する公開鍵を追加していた。この鍵は、ASUS の公式機能を用いて追加されるため、このコンフィグ変更はファームウェアのアップグレード後も保持される。過去に攻撃を受けたことがある場合には、ファームウェアをアップグレードしても、SSH バックドアは削除されない」と記されている。
Censys のデータによると、5月27日の時点で約 9,000台の ASUS ルーターの侵害が確認されている。このような大規模なキャンペーンの割に、3ヶ月間で確認された関連リクエストが僅か 30件であることから、このキャンペーンのステルス性が浮き彫りになっている。
GreyNoise は、このボットネットのキャンペーンに関連する、4つの IP アドレスのリストを侵害指標 (IoC) として公開している。
AI 搭載のネットワーク・トラフィック分析ツール SIFT により、AyySSHush という新たなボットネットの存在が明らかになりました。このボットネットは、すでに 9,000台以上の ASUS 製ルーターを侵害しているとされています。過去に攻撃を受けたデバイスでは、ファームウェアをアップグレードしても、SSH バックドアが残ったままになる可能性があるとのことです。ご利用のチームは、十分にご注意ください。よろしければ、Botnet で検索/ASUS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.