“Ayysshush” olarak adlandırılan sofistike bir botnet kampanyası, dünya çapında 9.000’den fazla ASUS yönlendiricisini tehlikeye attı ve ürün yazılımı güncellemelerinden ve yeniden başlatmalardan kurtulan kalıcı arka kapı erişimini sağladı.
İlk olarak Mart 2025’te tespit edilen gizli operasyon, geleneksel kötü amaçlı yazılımları dağıtmadan uzun vadeli kontrolü sürdürmek için kimlik doğrulama güvenlik açıklarından ve meşru yönlendirici özelliklerinden yararlanarak ileri ulus-devlet düzeyinde tradecraft göstermektedir.
ASUS yönlendiricilerinden yararlanan saldırı zinciri
Saldırganlar, ASUS yönlendirici arayüzlerine karşı kaba kuvvet giriş denemeleri ile başlayan çok aşamalı bir sömürü tekniği kullanıyor ve ardından daha önce açıklanmamış iki kimlik doğrulama baypas güvenlik açıklarından yararlanıyor.
.png
)
Ayrıcalıklı erişim elde edildikten sonra, tehdit aktörleri keyfi sistem komutlarını yürütmek için ASUS yönlendirici ürün yazılımında kimliği doğrulanmış bir komut enjeksiyon kusuru olan CVE-2023-39780’den yararlanır.
Kritik yük, /start_apply.htm adresine bir sonrası isteği aracılığıyla OAUTH_GOOGLE_REFRESH_TOKEN parametresini kullanır ve bant genişliği SQL günlüğe kaydetme özelliklerini etkinleştirmek için Touch /TMP /BWSQL_LOG komutunu enjekte eder.
Bu manipülasyon, kullanıcı kontrollü verileri doğrudan System () çağrılarına geçiren yönlendiricinin BWSDPI_SQLITE İkili’deki savunmasız işlevler aracılığıyla bir saldırı vektörü oluşturur.
Saldırganlar daha sonra standart olmayan TCP bağlantı noktası 53282’de SSH erişimini sağlar ve genel SSH anahtarlarını (kesik) enjekte eder:
Bu yapılandırma değişikliği, uçan olmayan bellekte (NVRAM) saklanan resmi ASUS ayarlarını kullandığı için ürün yazılımı yükseltmeleri arasında devam eder.
Grinnoise’in keşfi, milyonlarca internet trafik modelleri arasında sadece üç anormal HTTP sonrası istekleri işaretleyen “Sift” adlı AI destekli tehdit av aracı ile mümkün oldu.
Kampanyanın gizliliği dikkat çekicidir – binlerce cihazdan ödün vermesine rağmen üç ay boyunca sadece 30 kötü niyetli talep tespit edildi.
SIFT, şüpheli etkinliği, özel olarak inşa edilmiş büyük dil modelleri (LLMS), en yakın komşu arama ve fabrika konfigürasyonlarına sahip RT-AC3200 yönlendiricileri hedefleyen yükleri tespit etmek için gelişmiş makine öğrenme tekniklerini kullanarak tanımladı.
Dört IP adresi uzlaşmanın göstergeleri olarak tanımlanmıştır:
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
Acil Eylem Gerekli
Kampanya önemli bir güvenlik tehdidini temsil ediyor, çünkü arka kapı erişimi standart ürün yazılımı güncellemeleri yoluyla kaldırılamıyor.
ASUS, CVE-2023-39780’i ele alan yamalar yayınladı, ancak yama yapmadan önce tehlikeye atılan cihazlar kötü niyetli SSH yapılandırmasını koruyor. Saldırganlar tespiti önlemek için günlüğe kaydetme ve trendmicro aiprotection özelliklerini kasten devre dışı bırakır.
Güvenlik uzmanları, TCP bağlantı noktası 53282’de yetkisiz SSH hizmetleri için ASUS yönlendiricilerini derhal kontrol etmeyi ve saldırganın genel anahtarı için yetkili_keyler dosyalarını gözden geçirmeyi önerir.
Kuruluşlar, tanımlanan kötü amaçlı IP adreslerini engellemeli ve şüpheli uzlaşmış cihazlarda fabrika sıfırlamalarını gerçekleştirmeli ve ardından güçlü kimlik doğrulama kimlik bilgileri ile tam yeniden yapılandırma yapmalıdır.
Bu kampanyanın sofistike ve kalıcılığı, uzun vadeli stratejik hedefler için operasyonel röle kutusu (ORB) ağlarını kullanan gelişmiş kalıcı tehdit (APT) gruplarına potansiyel bağlantılar olduğunu göstermektedir.
Derinlemesine sanal alan kötü amaçlı yazılım analizini deneyin Soc çayınızM. Herhangi birini alın. Özel Teklif Yalnızca 31 Mayıs’a kadar -> Burada deneyin