GreyNoise a utilisé un outil d’analyse de trafic réseau alimenté par l’IA, nommé SIFT, pour détecter des charges utiles anormales visant à désactiver les fonctionnalités de sécurité TrendMicro sur les routeurs ASUS. Cette activité a été découverte initialement le 18 mars 2025, mais la divulgation publique a été retardée pour coordonner les découvertes avec des partenaires gouvernementaux et industriels.

L’attaque combine des méthodes anciennes et nouvelles, débutant par des attaques par force brute sur login.cgi, suivies d’exploitations de vulnérabilités de contournement d’authentification plus anciennes. Une fois l’accès privilégié obtenu, les attaquants exploitent une vulnérabilité d’injection de commande pour créer un fichier vide à /tmp/BWSQL_LOG, activant ainsi la journalisation BWDPI, une fonctionnalité TrendMicro intégrée.

L’impact est amplifié par l’activation à distance du SSH sur un port TCP élevé (53282) avec une clé publique contrôlée par l’attaquant ajoutée au trousseau du routeur, permettant un accès SSH exclusif et persistant même après les mises à jour du firmware.

Cet article est une analyse technique visant à informer sur les méthodes d’attaque et les vulnérabilités exploitées, tout en soulignant l’importance de la coordination entre les entités pour la sécurité des infrastructures réseau.

🧠 TTP et IOC détecté

TTP

Brute Force (T1110), Exploitation for Privilege Escalation (T1068), Command and Scripting Interpreter: Unix Shell (T1059.004), SSH Authorized Keys (T1098.004), Network Service Scanning (T1046)

IOC

Port TCP 53282, /tmp/BWSQL_LOG

🔗 Source originale : https://www.labs.greynoise.io//grimoire/2025-03-28-ayysshush/