一项新发现的网络攻击活动已攻陷全球数万台过时或已停止支持(EoL)的华硕路由器,受影响设备主要集中在台湾地区、美国和俄罗斯,进而被纳入一个大型网络。
该路由器劫持活动被 SecurityScorecard 的 STRIKE 团队命名为 “WrtHug 行动”。东南亚及欧洲部分国家也出现感染案例,过去六个月内,全球已识别出超过 5 万个属于受 compromised 设备的独立 IP 地址。
攻击活动疑似利用已停止支持的华硕 WRT 路由器中的六个已知安全漏洞,获取易受攻击设备的控制权。所有受感染路由器均共享一个独特的自签名 TLS 证书,该证书有效期设定为自 2022 年 4 月起 100 年。
SecurityScorecard 表示,展示该证书的服务中,99% 是华硕 AiCloud 服务 —— 这是一项专有服务,旨在允许用户通过互联网访问本地存储。
攻击技术细节与关联威胁
该公司在提交给《黑客新闻》的报告中称:“攻击者利用专有 AiCloud 服务及已知漏洞(n-day 漏洞),在已停止支持的华硕 WRT 路由器上获取高权限。” 报告还指出,尽管此次活动并非典型的 “操作中继箱(ORB)”,但与其他关联中国的 ORB 网络及僵尸网络存在相似之处。
攻击疑似利用多个漏洞进行扩散,包括 CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348、CVE-2023-39780、CVE-2024-12912 及 CVE-2025-2492。近几个月来,另外两个针对路由器的 ORB 网络分别是 LapDogs 和 PolarEdge。
在所有受感染设备中,有七个 IP 地址同时表现出 WrtHug 和 AyySSHush 的入侵特征,这可能意味着两个攻击集群存在关联。不过,除共享同一漏洞外,目前尚无其他证据支持这一假设。
此次攻击针对的路由器型号如下:
- 华硕无线路由器 4G-AC55U
- 华硕无线路由器 4G-AC860U
- 华硕无线路由器 DSL-AC68U
- 华硕无线路由器 GT-AC5300
- 华硕无线路由器 GT-AX11000
- 华硕无线路由器 RT-AC1200HP
- 华硕无线路由器 RT-AC1300GPLUS
- 华硕无线路由器 RT-AC1300UHP
- CIS 定制套件
目前攻击方身份尚不明确,但活动对台湾地区的重点针对,以及与中国黑客组织此前 ORB 攻击战术的重叠,表明幕后可能是某个未知的关联中国的行为体。
SecurityScorecard 表示:“本研究凸显了恶意威胁行为体大规模感染路由器及其他网络设备的趋势日益明显。这些行为体通常(但不限于)与中国相关,他们以谨慎且精心策划的方式开展活动,以扩大和深化其全球影响力。”
“威胁行为体通过串联命令注入和身份验证绕过漏洞,成功通过 SSH 部署持久化后门,还经常滥用路由器的合法功能,确保其控制在设备重启或固件更新后仍能存续。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容