详细内容或原文请订阅后点击阅览
8,000多个华硕路由器突然出现在“高级”神秘僵尸网络图中
没有进行正式归因,但是两个单独的探针暗示了相同可疑的数千个华硕路由器,目前被一个新的僵尸网络抓住了,该僵尸网络试图在利用漏洞进行后门访问之前禁用趋势微型安全功能。
来源:The Register _恶意软件目前,成千上万的华硕路由器被一个新的僵尸网络所吸引,该僵尸网络试图禁用微型安全功能,然后再利用漏洞进行后门访问。
威胁监控公司Greynoise发现了该植物网,该僵尸网将于3月回到3月份,并将兴趣的旁观者指向了Censys搜索,该搜索在写作时显示了8,000多名受感染的主人。
Censys搜索Greynoise仅在几个月后才揭示Ayysshush的细节,因为它花了一些时间与政府和行业合作伙伴合作进行披露。
这项活动尚未正式归因于任何特定的群体或国家,但是Greynoise的数据科学副总裁Bob Rudis说:“ Tradecraft提出了一个先进,资源良好的对手。”
说僵尸网络的剥削活动正在进行中,正如Greynoise所说的那样,它始于“最初的一系列通用蛮力攻击”。它背后的攻击者现在还利用旧身份验证旁路错误,以获得对华硕路由器的初始访问。
灰色僵尸网络群正在通过这两种方法中的一种找到成功,从那里他们使用其他身份验证旁路技术和较旧的漏洞(CVE-2023-39780)在路由器上运行任意命令。
根据报告,这些命令用于启用SSH,将其绑定到TCP/53282,并添加攻击者控制的公钥,从而为它们提供独家的SSH访问权限。
“由于使用官方的ASUS功能添加了此键,因此此配置更改在固件升级之间持续存在,” Greynoise的报告说。 “如果您以前被剥削,升级固件将无法删除SSH后门。”
“由于它是通过官方的ASUS设置配置的,因此即使修补后,后门仍在NVRAM中持续。没有恶意软件掉落,残疾人记录=几乎是看不见的,” Rudis补充说。
发布了其工作 回复了一个社交媒体上的Infoseccer 命名分类法 盐台风