网络安全情报公司 GreyNoise 称,黑客在持续的攻击活动中获得了对约 9000 台华硕路由器的未经授权的持续访问权。
与典型的恶意软件攻击不同,攻击者能够长期保持访问权限,不会投放恶意软件或留下任何痕迹。相反,该操作利用路由器自身的合法功能来创建持久后门,即使固件更新和重启也能继续存在。
这似乎是组建分布式后门设备网络的秘密行动的一部分,可能为未来的僵尸网络奠定基础。
此次活动所采用的方法与高级持续性威胁 (APT) 参与者使用操作中继盒(ORB) 网络进行的复杂、长期活动的典型策略相似。
尽管 GreyNoise 尚未做出任何归因,但其所展现的操作技巧水平表明犯罪者是一个强大且资金雄厚的对手。
GreyNoise在5月28日的一份报告和GreyNoise Labs的配套技术分析中分享了其研究结果。
华硕路由器攻击活动的入侵链
3 月 18 日,GreyNoise 研究人员使用 GreyNoise 制造的人工智能网络流量分析工具 SIFT 以及在 GreyNoise 全球观察网格中运行的完全模拟的华硕路由器配置文件发现了这一恶意活动。
具体来说,SIFT 检测到多个异常网络负载,这些负载试图禁用华硕路由器中的 TrendMicro 安全功能,然后利用漏洞。此外,还发现了这些路由器上华硕 AiProtection 功能中存在新型技术漏洞。
在调查 SIFT 检测到的异常流量来源后,GreyNoise 研究人员发现数千台华硕路由器受到了攻击。
截至5月27日,约有9000台路由器受到影响,且数量还在持续增加。
GreyNoise 分析发现,感染链按以下步骤展开:
- 攻击者利用暴力登录尝试和两个零日漏洞的身份验证绕过漏洞获得访问权限,这些漏洞未分配任何通用漏洞和暴露 (CVE) 标识符
- 攻击者利用CVE-2023-39780(影响华硕 RT-AX55 的高危命令注入漏洞)来执行系统命令 - 华硕已在最近的固件更新中修复该漏洞
- 攻击者使用合法的华硕功能在自定义端口 (TCP/53282) 上启用 SSH 访问,插入攻击者控制的公钥进行远程访问,后门存储在非易失性存储器 (NVRAM) 中,而不是磁盘上 - 这意味着它在固件升级或重启期间不会被删除
- 攻击者禁用路由器日志记录以逃避检测
GreyNoise 在报告中指出,虽然华硕在最近的固件更新中修补了 CVE-2023-39780,但攻击者的 SSH 配置更改无法通过更新删除。
初始登录绕过技术已修补但尚未分配 CVE。
GreyNoise 最初推迟披露这项调查,以便在与公众分享调查结果之前通知政府和行业合作伙伴。
5月22日,网络威胁情报公司 Sekoia 宣布华硕路由器遭到入侵,这是其名为“ViciousTrap”的活动的一部分。
华硕路由器漏洞缓解建议
GreyNoise 在其报告中提供了一系列建议,以减轻此次恶意攻击活动带来的威胁:
- 检查华硕路由器在 TCP/53282 上的 SSH 访问
- 检查authorized_keys文件中是否存在未经授权的条目
- 阻止以下四个 IP 地址:101.99.91.151;101.99.94.173;79.141.163.179;111.90.146.237
- 如果怀疑存在安全隐患,请执行完全恢复出厂设置并手动重新配置华硕路由器