Redazione RHC : 30 Maggio 2025 07:17
Oltre 9.000 router Asus sono stati hackerati dalla botnet AyySSHush, che attacca anche i router SOHO di Cisco, D-Link e Linksys. Questa campagna dannosa è stata scoperta dai ricercatori di GreyNoise a metà marzo 2025. Gli esperti sostengono che gli attacchi potrebbero essere collegati ad hacker governativi, anche se il rapporto non cita alcun gruppo specifico.
Secondo gli esperti, gli attacchi AyySSHush combinano la forza bruta per indovinare le credenziali, bypassare l’autenticazione e sfruttare vecchie vulnerabilità per hackerare i router Asus, inclusi i modelli RT-AC3100, RT-AC3200 e RT-AX55. Nello specifico, gli aggressori sfruttano una vecchia vulnerabilità di iniezione di comandi, CVE-2023-39780 per aggiungere la propria chiave SSH pubblica e consentire al demone SSH di ascoltare su una porta TCP non standard, la 53282.
Queste modifiche consentono agli aggressori di ottenere un accesso backdoor al dispositivo e di mantenerlo attivo anche dopo riavvii e aggiornamenti del firmware. “Dato che la chiave viene aggiunta utilizzando le funzioni ufficiali Asus, questa modifica alla configurazione viene mantenuta attraverso gli aggiornamenti del firmware”, spiega GreyNoise. “Se sei stato attaccato, l’aggiornamento del firmware non rimuoverà la backdoor SSH.”
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I ricercatori sottolineano che gli attacchi AyySSHush sono particolarmente furtivi perché gli hacker non utilizzano malware e disattivano anche la registrazione e la protezione AiProtection di Trend Micro per evitare di essere rilevati. Tuttavia, GreyNoise segnala di aver rilevato solo 30 query dannose correlate alla campagna negli ultimi tre mesi, mentre la botnet ha già infettato più di 9.000 router Asus.
Si ritiene che questa campagna possa sovrapporsi all’attività Vicious Trap, di cui gli analisti di Sekoia hanno recentemente messo in guardia. All’epoca, i ricercatori notarono che gli aggressori stavano sfruttando la vulnerabilità CVE-2021-32030 per hackerare i router Asus.
Nel complesso, la campagna scoperta da Sekoia prende di mira router SOHO, VPN SSL, DVR, controller D-Link BMC, nonché dispositivi Linksys, Qnap e Araknis Networks. I ricercatori hanno ipotizzato che gli aggressori stessero creando un’enorme rete honeypot di dispositivi compromessi e che, con il suo aiuto, avrebbero potuto “osservare i tentativi di sfruttamento in diversi ambienti, raccogliere exploit non pubblici e zero-day e riutilizzare l’accesso ottenuto da altri hacker”.
Come nel caso di ViciousTrap, gli obiettivi precisi degli operatori di AyySSHush non sono chiari, poiché i dispositivi infetti non vengono utilizzati per attacchi DDoS o per il proxy di traffico dannoso. I ricercatori sottolineano che gli sviluppatori di Asus hanno rilasciato patch per la vulnerabilità CVE-2023-39780, ma la loro disponibilità dipende dal modello specifico del router.
Si consiglia agli utenti di aggiornare il firmware il prima possibile, di verificare la presenza di file sospetti e di cercare la chiave SSH degli aggressori nel file authorized_keys. Gli indicatori di compromesso sono disponibili qui .
Gli esperti di GreyNoise hanno anche pubblicato quattro indirizzi IP associati ad attività dannose e che dovrebbero essere inseriti nella blacklist: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 e 111.90.146[.]237.
RedazioneLe Google dorks, sono diventate sinonimo di hacking, che può essere appreso da qualsiasi utente del World Wide Web. Anche se il termine si concentra su Google, ci sono alcuni comandi che funzionano a...
Recentemente, un avviso sul noto forum underground “DarkForum” ha riacceso i riflettori sul crescente e pericoloso mercato della compravendita di documenti d’identità rubati o falsificati. L’...
Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...
Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...
Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...
