Новий ботнет AyySSHush компрометує тисячі маршрутизаторів Asus та інших виробників

CyberSecureFox 🦊

Експерти з кібербезпеки компанії GreyNoise виявили критичну загрозу для користувачів мережевого обладнання – новий ботнет AyySSHush, який вже скомпрометував понад 9000 маршрутизаторів Asus. Масштабна кібератака, зафіксована в березні 2025 року, також зачіпає SOHO-пристрої інших відомих виробників, включаючи Cisco, D-Link та Linksys.

Технічний аналіз векторів атаки

Зловмисники застосовують багаторівневий підхід до компрометації пристроїв, комбінуючи різні техніки злому. Основним вектором атаки на маршрутизатори Asus моделей RT-AC3100, RT-AC3200 та RT-AX55 є критична вразливість CVE-2023-39780, яка дозволяє здійснювати віддалене виконання команд. Додатково використовуються методи брутфорс-атак на облікові дані та обхід механізмів автентифікації.

Механізми закріплення в системі

Аналіз показує високий рівень технічної підготовки операторів ботнету. Після успішного проникнення вони впроваджують власний SSH-ключ та налаштовують прослуховування нестандартного TCP-порту 53282. Особливу небезпеку становить здатність шкідливого коду зберігати присутність навіть після оновлення прошивки пристрою.

Інноваційні методи приховування

AyySSHush демонструє передові техніки маскування активності, уникаючи використання традиційного шкідливого програмного забезпечення. Атакуючі цілеспрямовано вимикають системне логування та деактивують захисні механізми AiProtection від Trend Micro, що суттєво ускладнює виявлення компрометації.

Зв’язок з попередніми кампаніями

Дослідники відзначають схожість тактик AyySSHush з раніше виявленою операцією Vicious Trap. Є підстави вважати, що метою зловмисників є створення масштабної мережі скомпрометованих пристроїв для розвідки нових вразливостей та експлойтів нульового дня.

Рекомендації щодо захисту

Для протидії загрозі AyySSHush критично важливо:
– Терміново оновити прошивку маршрутизатора до останньої версії
– Перевірити наявність підозрілих SSH-ключів
– Заблокувати доступ з відомих шкідливих IP-адрес: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, 111.90.146[.]237
– При виявленні ознак компрометації виконати повне скидання налаштувань з подальшою реконфігурацією

Масштаб виявленої кампанії підкреслює критичну важливість своєчасного оновлення мережевого обладнання та дотримання базових правил кібергігієни. Хоча Asus випустив патчі для вразливості CVE-2023-39780, користувачам необхідно регулярно перевіряти наявність оновлень безпеки та дотримуватися рекомендацій виробника щодо захисту пристроїв.

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються дані ваших коментарів.