Пока что вредонос нацелен на японский рынок маршрутизаторов, но вполне может добраться и до других стран.

В Японии зафиксированы атаки на Linux-роутеры с помощью нового трояна удалённого доступа GobRAT, написанного на языке Go. Об этом сообщил Центр координации компьютерного реагирования JPCERT в своём отчете, опубликованном сегодня.

Атакующие нацеливаются на роутеры, у которых веб-оболочка открыта для публичного доступа, и используют уязвимости для выполнения скриптов и заражения GobRAT. После компрометации роутера злоумышленники разворачивают скрипт-загрузчик, который доставляет GobRAT и запускает его под видом процесса Apache, чтобы избежать обнаружения.

Скрипт-загрузчик также обладает способностью отключать брандмауэры, устанавливать своё постоянство с помощью планировщика заданий cron и регистрировать публичный ключ SSH в файле «.ssh/authorized_keys» для удалённого доступа.

GobRAT, в свою очередь, общается с удалённым сервером по протоколу TLS и может получать различные зашифрованные команды для выполнения на целевом устройстве. Всего рассмотренный исследователями вредонос поддерживает 22 команды, среди которых, например:

  • получение информации об устройстве;
  • запуск обратной оболочки;
  • чтение и запись файлов;
  • конфигурация нового C2-сервера;
  • запуск SOCKS5-прокси;
  • выполнение файлов в каталоге «/zone/frpc»;
  • попытка входа в службы sshd, Telnet, Redis, MySQL, PostgreSQL, работающие на других устройствах;
  • запуск целенаправленных DDoS-атак.

GobRAT — это один из немногих троянов удалённого доступа, написанных на языке Go и использующих протокол сериализации данных «gob» для коммуникации. GobRAT упакован с помощью UPX версии 4 и поддерживает различные архитектуры, такие как ARM, MIPS, x86 и x86-64.

JPCERT также опубликовал на GitHub специальный инструмент для эмуляции C2-сервера GobRAT, который может помочь другим исследователям безопасности самостоятельно проанализировать вредонос.

Развитие подобных угроз лишь подчёркивает необходимость своевременного выявления вредоносных программ, поражающих интернет-роутеры, так как их потенциальный ущерб весьма серьёзен. В марте мы упоминали другую схожую киберугрозу под названием HiatusRAT, нацеленную на маршрутизаторы бизнес-класса DrayTek для тайного шпионажа за жертвами в Европе, а также Латинской и Северной Америке.

Источник: securitylab