サイバーセキュリティ会社Greynoiseは、9,000を超えるインターネット向けのASUSルーターを侵害する秘密のハッキングキャンペーンを発見しました。
2025年3月18日にグレイノイズ独自のAI搭載分析ツールであるSiftによって最初に検出され、研究者が政府および業界のパートナーと調査結果を調整した後、キャンペーンは水曜日にのみ公開されました。
攻撃者は、ブルートフォースログインの試み、認証バイパス、および既知のコマンドインジェクションの脆弱性(CVE-2023-39780)の組み合わせを使用して、セキュアシェル(SSH)を介して永続的なバックドアを静かに取り付けました。
このキャンペーンが特に驚くべきものであるのは、そのステルスと回復力です。不正アクセスは再起動とファームウェアの更新の両方を存続し、影響を受けるデバイスを耐久性のある制御します。
「攻撃者は、認証バイパスをチェーンし、既知の脆弱性を活用し、合法的な構成機能を乱用することにより、マルウェアをドロップしたり、明らかな痕跡を残さずに長期アクセスを維持します。」 書いた Greynoiseの研究者は水曜日のブログ投稿で。
Suggested read: iPhoneバックアップから連絡先を抽出する4つの方法【簡単ガイド】
Greynoiseグローバル観測グリッドとディープパケット検査で実行されている完全にエミュレートされたASUSルータープロファイルを使用して、研究者は攻撃チェーンを再構築し、バックドアメカニズムを特定することができました。
攻撃の仕組み
攻撃者は、CVEが割り当てられていない手法を含む、ブルートフォースログインの試みと文書化されていない認証バイパスを通じて初期アクセスを獲得します。次に、ルーターで任意のコマンドを実行するために、既知の脆弱性であるCVE-2023-39780をコマンドインジェクション欠陥を活用します。
正当なASUS機能を使用して、カスタムポート(TCP/53282)でSSHアクセスを有効にし、攻撃者が制御する公開キーをリモートアクセスするために挿入します。バックドアは不揮発性メモリ(NVRAM)に保存されているため、再起動とファームウェアの更新の両方に耐えることができます。
「このキーは公式のASUS機能を使用して追加されるため、この構成の変更はファームウェアのアップグレード全体で持続します」と別の詳細 関連レポート Greynoiseによる。 「以前に悪用されていた場合、ファームウェアをアップグレードしてもSSHバックドアは削除されません。」
隠されたままにするために、攻撃者はシステムのロギングを無効にし、マルウェアの使用を避け、トレンドマイクロの補助を回避します。
なぜそれが重要なのか
攻撃者は、侵害されたデバイスのネットワークを組み立てています。これは、将来のサイバー作戦で武器化される可能性があるステルスボットネットです。ロギングが無効になり、検出するマルウェア署名がないため、従来のセキュリティツールがキャッチする可能性は低いです。
過去3か月間、Greynoiseセンサーはこのキャンペーンに関連する30の関連リクエストしか見られず、9,000を超えるASUSルーターが侵害されていることを確認しました。これらのリクエストのうち、GreynoiseのSIFTツールは、人間の検査をトリガーするために3つの疑わしいHTTP投稿リクエストのみにフラグを立てました。
使用された方法の洗練とステルスを考えると、Greynoiseは、このキャンペーンは、正式な帰属は行われていないものの、復活した高度に熟練した脅威アクターの仕事である可能性があることを示唆しています。
2025年5月27日までに、グローバルインターネット全体でインターネット向けの資産を継続的に監視するプラットフォームであるCensysは、9,000近くのASUSルーターが侵害されたことを確認しました。影響を受けるホストの数は増えており、手術がどれほど静かに展開されているかを考えると、本当の影響はさらに広くなる可能性があります。
ASUSはその後、最近のファームウェアアップデートでCVE-2023-39780にパッチを当てましたが、ユーザーは既存のバックドアを手動で検証してクリーンアップする必要があります。
推奨事項
保護されたままにするために、ユーザーはTCP/53282でSSHアクセスのASUSルーターをチェックし、承認_keysファイルの不審なエントリの検査、識別された悪意のあるIPS(101.99.94.173、79.141.163.179、および111.90.146.237の場合)をブロックするように要求されます。完全な工場出荷時のリセットを実行し、ルーターを手動で再構成することをお勧めします。
