SecurityScorecardは、新たな中国関連の脅威キャンペーンが、世界中の数千台のASUS WRTルーターをすでに侵害し、新たなスパイネットワークの構築を目指していると警告しました。
同社のSTRIKEチームは本日の新しいレポートで、作戦「WrtHug」が主にレガシーな6つの脆弱性を悪用し、サポート終了済みのSOHOデバイスで特権昇格を行っていると主張しました。
これらの脆弱性(CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348、CVE-2024-12912、およびCVE-2025-2492)は、ASUS AiCloudサービスとOSインジェクションの脆弱性を悪用して永続化を可能にしていると、レポートは指摘しています。
感染したデバイスのほとんどは、有効期限が100年の同じ自己署名TLS証明書を共有していました。
「STRIKEチームは、地理的ターゲットがクラスター化された数千台のデバイスで自己署名のTransport Layer Security(TLS)証明書が拡散していることを調査中に、このグローバルなインフラキャンペーンを初めて特定しました」とレポートは述べています。
「このキャンペーンは明確にORB(オペレーショナル・リレーボックス)というわけではありませんが、STRIKEは他の中国のORBやボットネット作戦と著しい類似点があると評価しています。」
中国が犯人の可能性
これらの作戦の一つが「AyySSHush」であり、これも中国関連の作戦で、CVE-2023-39780を悪用してサポート終了済みのASUSルーターを標的にしていました。実際、SecurityScorecardは、両作戦の背後にいる脅威アクターが同一、または少なくとも協力している可能性があると主張しています。
ASUSの脅威についてさらに読む:数千台のASUSルーターがステルスバックドアキャンペーンで乗っ取られる
WrtHug作戦の被害者の最大50%が台湾に位置しており、中国の敵対者を疑う理由がさらに加わっています。レポートはまた、WrtHug作戦とAyySSHushの両方で侵害の兆候が見られる7つのIPアドレスを指摘しています。
「これまでの中国の高度持続的脅威(APT)アクターによるORBキャンペーンのTTP(戦術・技術・手順)との顕著な一致、およびキャンペーンの地理的な焦点から、WrtHug作戦は正体不明の中国関連アクターによるORB促進キャンペーンであると、低〜中程度の確度で評価しています」とレポートは説明しています。
「このインシデントは、定期的なアップデートの重要性、古いサービスに対する警戒、そして進化し続ける国家支援型の侵入キャンペーンに対抗するための積極的な監視の必要性を強調しています。」
SecurityScorecardのセキュリティ研究者Gilad Maizlesは、レポートがまた、国家グループが消費者インフラを攻撃の足場として利用する戦略的関心が高まっていることも明らかにしていると付け加えました。
「WrtHug作戦は、国家アクターがどのように消費者インフラに潜伏し、ステルス性と耐障害性を備えたグローバルなスパイネットワークを構築しているかのケーススタディです」と彼は付け加えました。
翻訳元: https://www.infosecurity-magazine.com/news/chinal-operation-wrthug-thousands/
