Hơn 9.000 routers Asus bị tin tặc xâm nhập và kiểm soát trên toàn cầu

Hàng nghìn thiết bị định tuyến (router) Asus trên toàn cầu đang trở thành mục tiêu của một chiến dịch tấn công mạng tinh vi mang tên ViciousTrap. Theo các chuyên gia tại GreyNoise và Sekoia, ít nhất 9.000 router Asus đã bị chiếm quyền điều khiển từ xa, trong đó nhiều thiết bị bị cài mã độc có khả năng duy trì truy cập trái phép lâu dài, kể cả sau khi thiết bị được khởi động lại hoặc cập nhật firmware.

ViciousTrap sử dụng lại công cụ và hạ tầng mạng từng liên quan đến chiến dịch PolarEdge, cho thấy khả năng tái sử dụng công cụ từ các botnet trước. Ngoài Asus, các thương hiệu thiết bị mạng như Cisco, QNAP, D-Link… cũng nằm trong phạm vi tấn công, khi kẻ đe dọa cố gắng thiết lập một mạng lưới “honeypot” để thu thập thông tin và dò tìm các khai thác zero-day chưa được công bố.

Chiến dịch lợi dụng lỗ hổng nghiêm trọng CVE-2023-39780, kết hợp kỹ thuật brute-force để vượt xác thực, sau đó âm thầm kích hoạt SSH trên cổng 53282 và chèn khóa truy cập trái phép. Đáng chú ý, mã độc còn vô hiệu hóa ghi log nhằm né tránh phát hiện.

Hoạt động của ViciousTrap được ghi nhận từ tháng 3/2025, sử dụng hạ tầng máy chủ đặt tại châu Á và Mỹ. Dù Asus đã phát hành bản vá, các thiết bị bị nhiễm vẫn phải reset thủ công để loại bỏ hoàn toàn backdoor.

Hiện tại, Asus đã phát hành bản cập nhật bảo mật, tuy nhiên việc cập nhật firmware không đủ để loại bỏ mã độc nếu thiết bị đã bị nhiễm từ trước. Mã độc vẫn tồn tại trong NVRAM và tiếp tục hoạt động nếu không được xử lý triệt để. Để giảm thiểu rủi ro, người dùng – đặc biệt là các tổ chức sử dụng router Asus trong môi trường mạng doanh nghiệp – cần thực hiện ngay các bước sau:

Cập nhật firmware mới nhất cho tất cả thiết bị router Asus.
Kiểm tra và vô hiệu hóa SSH nếu không sử dụng, đặc biệt kiểm tra cổng TCP/53282.
Xem lại file authorized_keys trên thiết bị để phát hiện khóa SSH bất thường.
Chặn các địa chỉ IP độc hại được xác định gồm: 101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237.
Nếu có dấu hiệu nghi ngờ bị xâm nhập, thực hiện factory reset toàn bộ thiết bị, sau đó cấu hình lại một cách thủ công, không khôi phục từ bản sao lưu cũ.
Theo dõi lưu lượng mạng bất thường, đặc biệt là kết nối ra nước ngoài hoặc đến các cổng không phổ biến.

Theo: The hacker news

Tin tức báo chí liên quan

Tháng Sáu 4, 2025 Tin tổng hợp

Băng nhóm ransomware toàn cầu Conti bị rò rỉ, công khai toàn bộ thông tin cá nhân và hoạt động

Một điều tra viên ẩn danh với bí danh GangExposed đã xác định danh tính và mô tả hoạt động chi tiết của các nhân vật cốt lõi trong nhóm ransomware Conti – từng được xem là tổ chức tấn công mạng nguy hiểm bậc nhất thế giới. Thông qua việc phân tích hàng nghìn…

Tháng Sáu 3, 2025 Tin tổng hợp

Lỗ hổng zero-day nghiêm trọng trong Google Chrome đang bị khai thác ngoài thực tế

Google vừa phát hành bản cập nhật khẩn cấp cho trình duyệt Chrome nhằm khắc phục một lỗ hổng bảo mật nghiêm trọng đang bị khai thác ngoài thực tế. Lỗ hổng này, được định danh là CVE-2025-5419 nằm trong Javascript Engine V8 Chrome, cho phép kẻ tấn công thực thi mã độc từ xa…

Tháng Sáu 2, 2025 Tin tổng hợp

PTaaS – Giải pháp kiểm thử xâm nhập liên tục, chủ động và hiệu quả

PtaaS (Penetration Testing as a Service) là giải pháp toàn diện giúp các tổ chức xác định, đánh giá và giảm thiểu lỗ hổng bảo mật trong hệ thống một cách liên tục và hiệu quả trong bối cảnh trí tuệ nhân tạo (AI) đang định hình lại lĩnh vực an ninh mạng. AI đang thay đổi…