關鍵詞

網絡攻擊

GreyNoise 于 2025 年 3 月 18 日首次發現了一起針對 ASUS 路由器的大規模攻擊活動。由于需要與政府和行業伙伴協調通報流程，GreyNoise 延遲了該事件的公開披露。這場攻擊的特點是隱蔽性極強，攻擊者已對數千臺暴露在互聯網上的 ASUS 路由器獲取了未經授權的、持久的遠程訪問權限。這一行動疑似是為構建一個分布式后門設備網絡做準備，未來可能演變為一場大型的僵尸網絡攻擊。

該攻擊活動展現出高度的專業性和長期潛伏意圖，其入侵手法包括繞過身份驗證機制、利用已知的漏洞執行命令，并通過系統自帶功能維持控制權限。這些戰術與高度成熟的持續性攻擊組織（APT）以及“中繼操作盒”網絡的技術手段相當一致。GreyNoise 并未對此次攻擊進行歸屬判斷，但其所展現的技術水準和隱蔽程度已超過一般的網絡攻擊行為，極有可能是由資源充足、具備高級作戰能力的攻擊方所發起。

攻擊者的控制權限可以在設備重啟乃至固件升級后仍然保留，表明其具備深度控制能力。這種持久化訪問是通過組合利用弱口令暴力破解、身份驗證繞過（部分方法未被分配 CVE 編號）、以及 CVE-2023-39780 命令注入漏洞實現的。更值得警惕的是，攻擊者并未植入傳統意義上的惡意軟件，而是利用 ASUS 官方功能開啟 SSH 服務、更改配置，并將自定義公鑰寫入 NVRAM（非易失性內存），確保配置不會因升級或重啟而被清除。同時，攻擊者會在操作前關閉日志記錄功能，從而在系統中幾乎不留下任何可見痕跡。

這項發現的關鍵在于 GreyNoise 自主研發的 AI 驅動網絡負載分析系統 “Sift”。該工具成功識別出全球網絡流量中的幾個 HTTP POST 請求，這些請求極為微弱且不易察覺，目標指向 ASUS 路由器的特定接口。通過配合 GreyNoise 的 ASUS 路由器仿真環境和數據包捕獲能力，研究人員不僅重現了完整攻擊流程，還驗證了后門的植入方式與持久化機制。如果沒有 Sift 和仿真環境的幫助，這種利用官方功能實施的無痕入侵極有可能長期不被察覺。

整個攻擊鏈條分為四個階段。首先是初始訪問，攻擊者通過暴力破解以及兩個身份繞過漏洞進入系統；第二步是命令執行，他們借助 CVE-2023-39780 注入命令實現控制；第三階段是持久化設置，攻擊者通過開啟 SSH 服務、加入攻擊者自定義的公鑰并寫入 NVRAM，從而維持控制權限；最后是隱蔽階段，攻擊者關閉日志功能，并未在系統中植入惡意程序，從而大幅提高了隱蔽性。

截至 2025 年 5 月 27 日，根據 Censys 提供的全球資產掃描數據，已有近 9000 臺 ASUS 路由器確認受到影響，且被入侵的數量仍在持續增長。而 GreyNoise 自身傳感器僅在三個月內監測到相關請求 30 次左右，表明攻擊者極為克制并刻意規避引起注意的流量波動。

本次攻擊活動中所涉及的四個惡意 IP 地址分別為：101.99.91.151、101.99.94.173、79.141.163.179 和 111.90.146.237。攻擊者開啟了一個不常見的 SSH 后門端口 TCP/53282，并插入了一串自定義的 SSH 公鑰（開頭為 ssh-rsa AAAAB3...）。盡管 ASUS 已在固件更新中修復了 CVE-2023-39780 漏洞，并默默修補了部分認證繞過方式，但由于攻擊者的配置存儲在 NVRAM 中，固件升級并不會清除已有的后門。

因此，GreyNoise 建議所有 ASUS 路由器用戶應立即檢查是否開啟了 TCP/53282 端口的 SSH 服務，檢查authorized_keys文件中是否存在未經授權的公鑰，屏蔽上述四個惡意 IP 地址，并在懷疑設備被入侵時執行全廠重置操作，隨后手動重新配置設備。

這是一起高度隱蔽、技術成熟、準備充分的長期攻擊行動，也再次提醒我們，即便是“無惡意軟件”的入侵，也足以讓網絡設施陷入重大風險之中。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！