- Регистрация
- 01.08.25
- Сообщения
- 1,073
- Реакции
- 626
Исследователи STRIKE из SecurityScorecard задетектили глобальную вредоносную кампанию, получившую название Operation WrtHug и нацеленную на устаревшие или вышедшие из эксплуатации маршрутизаторы ASUS WRT с использованием шести уязвимостей.
За последние шесть месяцев удалось отследить около 50 000 уникальных IP-адресов зараженных в ходе Operation WrtHug устройств по всему миру.
Большинство взломанных устройств расположены на Тайване, в то время как другие разбросаны по странам Юго-Восточной Азии, России, Центральной Европы и США.
Примечательно, что на территории Китая не зафиксировано ни одного случая заражения, что потенциально может указывать на дислокацию источника угрозы, однако исследователи не нашли достаточных доказательств для достоверной атрибуции.
По мнению STRIKE, на основе выбора целей и методов атак прослеживаются определенные связи между Operation WrtHug и кампанией AyySSHush, впервые задокументированной GreyNoise в мае этого года.
Наблюдаемые атаки начинаются с эксплуатации ошибок внедрения команд и других известных уязвимостей в маршрутизаторах ASUS WRT, в основном это устройства серий AC и AX.
По мнению исследователей STRIKE, в WrtHug могут использовать следующие уязвимости: CVE-2023-41345 - CVE-2023-41348, CVE-2023-39780 (также использовалась в кампании AyySSHush), CVE-2024-12912 и CVE-2025-2492.
При этом CVE-2025-2492 является единственной, имеющей критический уровнь серьёзности.
В апрельском бюллетене ASUS предупреждалось о возможности ее активиции с помощью специально созданного запроса на маршрутизаторах с включённой функцией AiCloud.
Причем в отчете SecurityScorecard прямо утверждается, что в случае с Operation WrtHug злоумышленники, по-видимому, использовали службу ASUS AiCloud для развертывания целенаправленного глобального набора угроз.
Индикатором взлома в рамках этой кампании является наличие самоподписанного TLS-сертификата в сервисах AiCloud, который заменил стандартный сертификат, сгенерированный ASUS, на 99% взломанных устройств.
Новый сертификат привлёк внимание, поскольку его срок действия составляет 100 лет, в то время как оригинальный действовал всего 10 лет.
Используя этот уникальный сертификат STRIKE смогли идентифицировать более 50 000 зараженных IP-адресов.
Как и в кампании AyySSHush, злоумышленники не обновляют прошивку скомпрометированного устройства, что оставляет его открытым для захвата другими злоумышленниками.
На основе индикаторов взлома исследователи выявили следующие беспроводные маршрутизаторы ASUS, подвергшиеся атаке WrtHug: 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS и RT-AC1300UHP.
STRIKE полагает, что взломанные маршрутизаторы могут использоваться в качестве сетей ORB в операциях китайских хакеров в качестве скрытых ретрансляционных узлов, прокси-серверов и скрытой инфраструктуры С2.
Однако в отчёте нет анализа предпринятых злоумышленником после взлома действий.
ASUS выпустила обновления, устраняющие все уязвимости, используемые в атаках WrtHug, поэтому владельцам маршрутизаторов следует обновить прошивку до последней доступной версии, или, по крайней мере, отключить функции удаленного доступа.
Учитывая недавнее исправление ASUS другой CVE-2025-59367, позволяющей обойти аутентификацию и затрагивающуей несколько моделей серии AC, ожидается, что и она вскоре может попасть в арсенал злоумышленников.
• Source: Для просмотра ссылки Войдиили Зарегистрируйся
За последние шесть месяцев удалось отследить около 50 000 уникальных IP-адресов зараженных в ходе Operation WrtHug устройств по всему миру.
Большинство взломанных устройств расположены на Тайване, в то время как другие разбросаны по странам Юго-Восточной Азии, России, Центральной Европы и США.
Примечательно, что на территории Китая не зафиксировано ни одного случая заражения, что потенциально может указывать на дислокацию источника угрозы, однако исследователи не нашли достаточных доказательств для достоверной атрибуции.
По мнению STRIKE, на основе выбора целей и методов атак прослеживаются определенные связи между Operation WrtHug и кампанией AyySSHush, впервые задокументированной GreyNoise в мае этого года.
Наблюдаемые атаки начинаются с эксплуатации ошибок внедрения команд и других известных уязвимостей в маршрутизаторах ASUS WRT, в основном это устройства серий AC и AX.
По мнению исследователей STRIKE, в WrtHug могут использовать следующие уязвимости: CVE-2023-41345 - CVE-2023-41348, CVE-2023-39780 (также использовалась в кампании AyySSHush), CVE-2024-12912 и CVE-2025-2492.
При этом CVE-2025-2492 является единственной, имеющей критический уровнь серьёзности.
В апрельском бюллетене ASUS предупреждалось о возможности ее активиции с помощью специально созданного запроса на маршрутизаторах с включённой функцией AiCloud.
Причем в отчете SecurityScorecard прямо утверждается, что в случае с Operation WrtHug злоумышленники, по-видимому, использовали службу ASUS AiCloud для развертывания целенаправленного глобального набора угроз.
Индикатором взлома в рамках этой кампании является наличие самоподписанного TLS-сертификата в сервисах AiCloud, который заменил стандартный сертификат, сгенерированный ASUS, на 99% взломанных устройств.
Новый сертификат привлёк внимание, поскольку его срок действия составляет 100 лет, в то время как оригинальный действовал всего 10 лет.
Используя этот уникальный сертификат STRIKE смогли идентифицировать более 50 000 зараженных IP-адресов.
Как и в кампании AyySSHush, злоумышленники не обновляют прошивку скомпрометированного устройства, что оставляет его открытым для захвата другими злоумышленниками.
На основе индикаторов взлома исследователи выявили следующие беспроводные маршрутизаторы ASUS, подвергшиеся атаке WrtHug: 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS и RT-AC1300UHP.
STRIKE полагает, что взломанные маршрутизаторы могут использоваться в качестве сетей ORB в операциях китайских хакеров в качестве скрытых ретрансляционных узлов, прокси-серверов и скрытой инфраструктуры С2.
Однако в отчёте нет анализа предпринятых злоумышленником после взлома действий.
ASUS выпустила обновления, устраняющие все уязвимости, используемые в атаках WrtHug, поэтому владельцам маршрутизаторов следует обновить прошивку до последней доступной версии, или, по крайней мере, отключить функции удаленного доступа.
Учитывая недавнее исправление ASUS другой CVE-2025-59367, позволяющей обойти аутентификацию и затрагивающуей несколько моделей серии AC, ожидается, что и она вскоре может попасть в арсенал злоумышленников.
• Source: Для просмотра ссылки Войди