Новости GobRAT: новый троян удалённого доступа, который может превратить ваш Linux-роутер в зомби

NewsMaker

I'm just a script
Премиум
13,887
20
8 Ноя 2022
Пока что вредонос нацелен на японский рынок маршрутизаторов, но вполне может добраться и до других стран.


wai81c50nchrzlq84wklqy3i2k1x386g.png


В Японии зафиксированы атаки на Linux -роутеры с помощью нового трояна удалённого доступа GobRAT, написанного на языке Go. Об этом Для просмотра ссылки Войди или Зарегистрируйся Центр координации компьютерного реагирования JPCERT в своём отчете, опубликованном сегодня.

Атакующие нацеливаются на роутеры, у которых веб-оболочка открыта для публичного доступа, и используют уязвимости для выполнения скриптов и заражения GobRAT. После компрометации роутера злоумышленники разворачивают скрипт-загрузчик, который доставляет GobRAT и запускает его под видом процесса Apache , чтобы избежать обнаружения.

Скрипт-загрузчик также обладает способностью отключать брандмауэры, устанавливать своё постоянство с помощью планировщика заданий cron и регистрировать публичный ключ SSH в файле «.ssh/authorized_keys» для удалённого доступа.

GobRAT, в свою очередь, общается с удалённым сервером по протоколу TLS и может получать различные зашифрованные команды для выполнения на целевом устройстве. Всего рассмотренный исследователями вредонос поддерживает 22 команды, среди которых, например:

  • получение информации об устройстве;
  • запуск обратной оболочки;
  • чтение и запись файлов;
  • конфигурация нового C2-сервера;
  • запуск SOCKS5-прокси;
  • выполнение файлов в каталоге «/zone/frpc»;
  • попытка входа в службы sshd, Telnet, Redis, MySQL, PostgreSQL, работающие на других устройствах;
  • запуск целенаправленных DDoS-атак.
GobRAT — это один из немногих троянов удалённого доступа, написанных на языке Go и использующих протокол сериализации данных «gob» для коммуникации. GobRAT упакован с помощью UPX версии 4 и поддерживает различные архитектуры, такие как ARM, MIPS, x86 и x86-64.

JPCERT также Для просмотра ссылки Войди или Зарегистрируйся на GitHub специальный инструмент для эмуляции C2-сервера GobRAT, который может помочь другим исследователям безопасности самостоятельно проанализировать вредонос.

Развитие подобных угроз лишь подчёркивает необходимость своевременного выявления вредоносных программ, поражающих интернет-роутеры, так как их потенциальный ущерб весьма серьёзен. В марте Для просмотра ссылки Войди или Зарегистрируйся другую схожую киберугрозу под названием HiatusRAT, нацеленную на маршрутизаторы бизнес-класса DrayTek для тайного шпионажа за жертвами в Европе, а также Латинской и Северной Америке.
 
Источник новости
www.securitylab.ru

Похожие темы