Linux ruteri u Japanu su meta novog Golang trojanca za daljinski pristup (RAT) pod nazivom GobRAT.
„Napadač u početku cilja na ruter čiji je WEBUI otvoren za javnost, izvršava skripte, moguće koristeći ranjivosti, i na kraju inficira GobRAT“ navodi se u izvještaju JPCERT Koordinacionog centra (JPCERT/CC).
Kompromis rutera izloženog internetu je praćen implementacijom skripte za učitavanje koja djeluje kao kanal za isporuku GobRAT-a, koji se, kada se pokrene, maskira kao Apache demon proces (apached) kako bi izbjegao otkrivanje.
Loader je takođe opremljen za onemogućavanje firewall-a, uspostavljanje postojanosti koristeći planer poslova cron i registraciju SSH javnog ključa u datoteci .ssh/authorized_keys za daljinski pristup.
GobRAT, sa svoje strane, komunicira sa udaljenim serverom preko protokola Transport Layer Security (TLS) kako bi primio čak 22 različite šifrovane komande za izvršenje.
Neke od glavnih naredbi su sledeće:
- Pribaviti informacije o mašini
- Izvršiti reverse shell
- Čitanje/pisanje fajlova
- Konfigurisati novu komandu i kontrolu (C2) i protokol
- Pokrenuti SOCKS5 proxy
- Izvršiti datoteku u /zone/ frpc
- Pokušati prijavu na sshd, Telnet, Redis, MySQL, PostgreSQL servise koji rade na drugoj mašini
Nalazi dolaze skoro tri mjeseca nakon što je Lumen Black Lotus Labs otkrio da su ruteri poslovnog ranga viktimizovani kako bi špijunirali žrtve u Latinskoj Americi, Evropi i Sjevernoj Americi koristeći maliciozni softver pod nazivom HiatusRAT.
Izvor: The Hacker News