TokyoBlackHatNews

bleepingcomputer.com 4分で読了

新たな「WrtHug」キャンペーンが数千台のサポート終了ASUSルーターを乗っ取る

New WrtHug campaign hijacks thousands of end-of-life ASUS routers

ASUS WRTルーターのうち、主にサポート終了または古いデバイスが、6つの脆弱性を悪用する「Operation WrtHug」と呼ばれる世界的なキャンペーンによって数千台規模で乗っ取られています。

過去6か月間で、Operation WrtHugで侵害されたASUSデバイスを探すスキャナーは、世界中で「およそ5万件のユニークIP」を特定しました。

侵害されたデバイスのほとんどは台湾にIPアドレスがあり、その他は東南アジア、ロシア、中欧、米国などに分布しています。

特筆すべきは、中国国内での感染が確認されていないことで、これは中国の脅威アクターによるものかもしれないことを示唆しますが、研究者らは高い確度での属性を行うには証拠が不十分だとしています。

SecurityScorecardのSTRIKE研究者によると、標的や攻撃手法に基づき、Operation WrtHugと、5月にGreyNoiseが初めて文書化したAyySSHushキャンペーンとの間に関連性がある可能性があります。

Image
WrtHugの世界的な拡散状況
出典: SecurityScorecard

WrtHugの攻撃手法

攻撃は、主にACシリーズおよびAXシリーズのASUS WRTルーターに存在するコマンドインジェクションの欠陥や、その他の既知の脆弱性を悪用することから始まります。

STRIKE研究者によると、WrtHugキャンペーンは攻撃において以下のセキュリティ問題を悪用している可能性があります。

  • CVE-2023-41345/46/47/48 – トークンモジュールを介したOSコマンドインジェクション
  • CVE-2023-39780 – 重大なコマンドインジェクションの欠陥(AyySSHushキャンペーンでも使用)
  • CVE-2024-12912 – 任意コマンド実行
  • CVE-2025-2492 – 不適切な認証制御により、機能の不正実行につながる可能性

上記の脆弱性のうち、CVE-2025-2492は唯一、深刻度がクリティカルと評価されています。ASUSは4月に発行したセキュリティアドバイザリの中で、この欠陥の重大性と、AiCloud機能が有効になっているルーターに対して細工されたリクエストを送ることで悪用され得ることを警告していました。

本日のレポートで、SecurityScorecardは「攻撃者は今回、ASUS AiCloudサービスを利用して、標的型のグローバルな侵入セットを展開したようだ」と述べています。

このキャンペーンの侵害指標の1つは、AiCloudサービス上に自己署名TLS証明書が存在し、侵害されたデバイスの99%でASUSが生成した標準証明書と置き換えられていることです。新しい証明書は、有効期間が10年のオリジナルと比べて100年と異常に長いことから注目を集めました。

STRIKE研究者は、このユニークな証明書を用いて5万件の感染IPを特定しました。

The malicious certificate
悪意のある証明書
出典: SecurityScorecard

AyySSHushキャンペーンと同様に、攻撃者は侵害したデバイスのファームウェアをアップグレードせず、他の脅威アクターによる乗っ取りに対しても開かれた状態のままにしています。

侵害指標に基づき、研究者らはOperation WrtHugによって以下のASUSデバイスが標的になっていることを確認しました。

• ASUS Wireless Router 4G-AC55U
• ASUS Wireless Router 4G-AC860U
• ASUS Wireless Router DSL-AC68U
• ASUS Wireless Router GT-AC5300
• ASUS Wireless Router GT-AX11000
• ASUS Wireless Router RT-AC1200HP
• ASUS Wireless Router RT-AC1300GPLUS
• ASUS Wireless Router RT-AC1300UHP

STRIKEは、侵害されたルーターが中国のハッキング作戦において、ステルス中継ノード、プロキシ、コマンド&コントロール(C2)インフラの秘匿などに用いられる運用リレーボックス(ORB)ネットワークとして利用されている可能性があると考えています。ただし、レポートは侵害後の具体的なオペレーションには踏み込んでおらず、詳細は不足しています。

ASUSは、WrtHug攻撃で悪用されているすべての脆弱性に対処するセキュリティアップデートを公開しているため、ルーター所有者はファームウェアを最新バージョンに更新する必要があります。

デバイスがすでにサポート対象外である場合は、交換するか、少なくともリモートアクセス機能を無効にすることが推奨されます。

ASUSは最近、複数のACシリーズモデルに影響する認証バイパスの欠陥であるCVE-2025-59367も修正しました。この欠陥はまだ悪用されていませんが、近く攻撃者の武器庫に加えられる可能性があります。

翻訳元: https://www.bleepingcomputer.com/news/security/new-wrthug-campaign-hijacks-thousands-of-end-of-life-asus-routers/

ソース: bleepingcomputer.com
#AiCloud認証バイパス #ASUSルーター #CVE-2025-2492 #IoTセキュリティ #Operation WrtHug #VPN・ルーター脆弱性悪用 #エンドオブルーター悪用 #ファームウェアアップデート #ボットネットキャンペーン #中国系ハッカー疑惑

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用