【安全资讯】新型僵尸网络攻击9000多台ASUS路由器，植入持久SSH后门

概要：

近期，网络安全研究人员发现一个名为“AyySSHush”的新型僵尸网络，已成功攻击超过9000台ASUS路由器。该事件引发了广泛关注，因其可能涉及国家级威胁行为者，并对用户的网络安全构成严重威胁。

主要内容：

该攻击活动由GreyNoise安全研究团队于2025年3月中旬发现，攻击者通过暴力破解登录凭证、绕过身份验证以及利用旧有漏洞来入侵ASUS路由器，特别是RT-AC3100、RT-AC3200和RT-AX55型号。攻击者利用一个被追踪为CVE-2023-39780的命令注入漏洞，添加自己的SSH公钥，并使SSH守护进程在非标准TCP端口53282上监听。这一修改使得攻击者即使在设备重启和固件更新后，仍能保持后门访问。

该攻击手法特别隐蔽，未使用恶意软件，攻击者还关闭了日志记录和Trend Micro的AiProtection以规避检测。GreyNoise报告称，在过去三个月内，仅记录到30个与该活动相关的恶意请求，但9000台ASUS路由器已被感染。尽管攻击的具体目标尚不明确，但该活动可能在为未来的僵尸网络奠定基础。

ASUS已发布针对受影响路由器的安全更新，用户被建议尽快升级固件，并检查‘authorized_keys’文件中是否存在攻击者的SSH密钥。如果怀疑设备被攻陷，建议进行恢复出厂设置，以确保彻底清除潜在威胁。