Botnet met duizenden ASUS-routers ontdekt

Hiervoor waarschuwen beveiligingsonderzoekers van GreyNoise, meldt Dark Reading. Het bedrijf meldde medio maart al dat het botnet zich verspreidde via onbeveiligde en niet-gepatchte ASUS-routers. De malware maakt misbruik van zwakke authenticatiegegevens en oude, niet-gepatchte kwetsbaarheden. Daarnaast omzeilt het de ingebouwde beveiligingsfuncties van Trend Micro en gebruikt het "living-off-the-land" (LotL)-technieken om zich diep in het systeem te nestelen.

ViciousTrap

Vorige week bracht beveiligingsbedrijf Sekoia een rapport uit over een dreigingsactor die duizenden randapparaten van merken als Linksys, D-Link, QNAP, Araknis Networks en ASUS heeft gecompromitteerd. Hoewel Greynoise geen definitieve link legt, vermoedt het bedrijf dat dezelfde actor, genaamd "ViciousTrap", verantwoordelijk is voor beide campagnes.

De aanvallers dringen binnen via brute-force-aanvallen of door kwetsbaarheden uit te buiten die authenticatie omzeilen. Eenmaal binnen proberen ze de AiProtection-beveiligingssuite van Trend Micro uit te schakelen, met name via CVE-2023-39780, een bijna twee jaar oude kwetsbaarheid met een hoge risicoscore (8,8 op de CVSS-schaal).

De malware gebruikt vervolgens command-injectie om een leeg bestand aan te maken, waardoor een loggingfunctie genaamd "Bandwidth SQLite Logging" (BWDPI) wordt geactiveerd. Een fout in BWDPI stelt de malware in staat om eigen code uit te voeren als systeemcommando's.

Permanente toegang via SSH

Tot slot past de malware de instellingen van het apparaat aan om permanente SSH-toegang te verkrijgen. Omdat deze wijziging wordt opgeslagen in het niet-vluchtige geheugen (NVRAM), blijft de achterdeur behouden, zelfs na firmware-updates of herstarts.

Gebruikers wordt aangeraden hun routers te controleren op verdachte activiteiten en ervoor te zorgen dat hun apparaten up-to-date zijn met de nieuwste beveiligingspatches.