I router Linux in Giappone sono il bersaglio di un nuovo trojan di accesso remoto, programmato con linguaggio, Golang chiamato GobRAT.
Quali sono i datti che causa GobRAT?
“Inizialmente, il malintenzionato prende di mira un router il cui WEBUI è aperto al pubblico, esegue script possibilmente utilizzando vulnerabilità, e infine infetta il GobRAT“, ha dichiarato il JPCERT Coordination Center (JPCERT/CC) in un rapporto pubblicato oggi.
Il compromesso di un router esposto su internet è seguito dal dispiegamento di uno script di caricamento (injection) che funge da condotto per spargare il malware GobRAT, il quale, una volta avviato, si maschera come un processo di Apache (apached) per evitare il rilevamento.
Il loader è anche equipaggiato per disabilitare i firewall, stabilire la persistenza utilizzando il programma di pianificazione cron job, e registrare una chiave pubblica SSH nel file .ssh/authorized_keys per l’accesso remoto.
GobRAT, da parte sua, comunica con un server remoto tramite il protocollo Transport Layer Security (TLS) per ricevere fino a 22 diversi comandi crittografati per l’esecuzione.
Alcuni dei comandi principali sono i seguenti:
- Ottenere informazioni sulla macchina
- Eseguire shell inversa
- Leggere/scrivere file
- Configurare nuovo protocollo ommand-and-control (C2)
- Avviare proxy SOCKS5
- Eseguire file in /zone/frpc
- Tentativo di accedere a sshd, Telnet, Redis, MySQL, servizi PostgreSQL in esecuzione su un’altra macchina
Queste scoperte arrivano quasi tre mesi dopo che Lumen Black Lotus Labs ha rivelato che i router di grado aziendale sono stati vittime di spionaggio su vittime in America Latina, Europa e Nord America utilizzando un malware chiamato HiatusRAT.