后门通常旨在绕过传统的身份验证方法，并提供对易受攻击的网络设备或端点设备的未经授权的远程访问。最有效的后门对最终用户和系统管理员都是不可见的，这使得它们对从事隐蔽网络间谍活动的威胁行为者特别有吸引力。GreyNoise 的分析师发现了一场神秘的后门攻击活动，影响了超过 9000 台华硕路由器。

这些身份不明的网络犯罪分子正在利用安全漏洞——其中一些漏洞已被修补——而其他漏洞则从未在 CVE 数据库中被分配到适当的跟踪条目。整个事件充满了“未知数”，因为攻击者尚未利用他们构建的庞大僵尸网络采取任何明显行动。

这个后门程序目前被追踪为“ViciousTrap”，最初是由 GreyNoise 的专有人工智能系统 Sift 发现的。该人工智能系统在 3 月份检测到了异常流量，促使研究人员调查这一新威胁，并在月底前通知政府部门。现在，就在另一家安全公司披露该活动几天后，GreyNoise 发布了一篇博客文章，详细介绍了ViciousTrap。

据研究人员称，数千台华硕网络设备已被该隐秘后门入侵。攻击者首先利用多个安全漏洞，并通过暴力破解登录尝试绕过身份验证，从而获得访问权限。然后，他们利用另一个漏洞 (CVE-2023-39780) 在路由器上执行命令，滥用华硕的一项合法功能，在特定 TCP/IP 端口上启用 SSH 访问，并注入公钥加密密钥。

威胁者随后可以使用其私钥远程访问受感染的路由器。该后门存储在设备的 NVRAM 中，即使在重启或固件更新后也能持续存在。据 GreyNoise 称，该后门本质上是隐形的，并且已禁用日志记录以进一步逃避检测。

ViciousTrap 攻击活动正在缓慢扩张，但攻击者尚未通过具体行动或攻击暴露其意图。华硕已在近期固件更新中修复了被利用的漏洞。然而，除非管理员手动检查并禁用 SSH 访问，否则任何现有的后门仍将有效。

要修复此问题，管理员应删除用于未经授权的 SSH 访问的公钥，并重置所有自定义 TCP/IP 端口配置。完成这些步骤后，受影响的华硕路由器应该会恢复到原始未受感染的状态。

GreyNoise 还建议网络管理员监控来自以下可疑 IP 地址的连接流量：

• 101.99.91.151

• 101.99.94.173

• 79.141.163.179

• 111.90.146.237

最后，研究人员警告路由器用户务必安装最新的固件更新。“如果怀疑路由器被入侵，请执行完全恢复出厂设置并手动重新配置。”他们说道。