بیش از 9.000 روتر ASUS توسط باتنت جدید AyySSHush مورد حمله قرار گرفتهاند که طبق مشاهدات روترهای SOHO از برندهای Cisco، D-Link و Linksys را نیز هدف قرار میدهد.
این کمپین در اواسط مارس 2025 توسط محققان امنیتی GreyNoise شناسایی شد. ویژگیهای حمله، شباهت زیادی به رفتار عوامل تهدید تحت حمایت دولتها دارد که با ترکیبی از تکنیکهای مختلف از جمله Brute-force برای اعتبارنامههای ورود، عبور از فرایند احراز هویت و اکسپلویت از آسیبپذیریهای قدیمی نفوذ به روترهای ASUS صورت گرفته است. مدلهای آسیبپذیر شامل RT-AC3100، RT-AC3200 و RT-AX55 هستند. به طور خاص نفوذگران از آسیبپذیری تزریق فرمان با شناسه CVE-2023-39780 (امتیاز 8.8) جهت افزودن کلید عمومی SSH خود و فعالسازی سرویس SSH برای گوش دادن به پورت TCP غیر استاندارد 53282 استفاده میکنند.
بدین ترتیب حتی بین راهاندازی مجدد یا به روزرسانی سفتافزار نیز دسترسی به دربپشتی دستگاه امکانپذیر خواهد بود. این حملات به طور ویژه مخفیانه بوده و بدون نصب هیچ بدافزاری اجرا میشوند و آنها با غیرفعالسازی قابلیتهای ثبت لاگها و سیستم AiProtection شرکت Trend Micro تلاش میکنند از شناسایی و تحلیل فرار کنند. هدف عملیاتی دقیق AyySSHush هنوز مشخص نیست، چرا که هیچ نشانهای از منع سرویس توزیعشده (DDoS) یا استفاده از دستگاهها برای پراکسی ترافیک مخرب از طریق روترهای ASUS وجود ندارد. به نظر میرسد که این کمپین بیسروصدا شبکهای از روترهای دارای دربپشتی ایجاد میکند تا زمینه را برای باتنت آتی فراهم کند.
https://www.bleepingcomputer.com/news/security/botnet-hacks-9-000-plus-asus-routers-to-add-persistent-ssh-backdoor/
