I router Linux in Giappone sono sotto attacco da un nuovo trojan di accesso remoto (RAT) realizzato in Golang, noto come GobRAT. Questo trojan inizialmente prende di mira un router con l’interfaccia WEBUI aperta al pubblico, esegue script sfruttando potenziali vulnerabilità e infine infetta il dispositivo con GobRAT, come riportato dal JPCERT Coordination Center (JPCERT/CC) in un rapporto pubblicato oggi.
Un loader sofisticato per l’attacco
Una volta compromesso il router esposto a Internet, gli aggressori procedono con il dispiegamento di uno script loader che funge da tramite per la consegna di GobRAT. Una volta lanciato, questo trojan si traveste da processo demone Apache (apached) per evitare la rilevazione. Inoltre, lo script loader è dotato di strumenti per disabilitare i firewall, stabilire una persistenza utilizzando il pianificatore di lavori cron e registrare una chiave pubblica SSH nel file .ssh/authorized_keys per l’accesso remoto.
Le funzioni insidiose di GobRAT
GobRAT, dal canto suo, comunica con un server remoto tramite il protocollo Transport Layer Security (TLS) per ricevere fino a 22 diversi comandi criptati per l’esecuzione. Alcuni dei comandi principali sono:
- Ottenere informazioni sulla macchina
- Eseguire shell inversa
- Leggere/scrivere file
- Configurare nuovo comando e controllo (C2) e protocollo
- Avviare proxy SOCKS5
- Eseguire file in /zone/frpc, e
- Tentare di accedere a servizi sshd, Telnet, Redis, MySQL, PostgreSQL in esecuzione su un’altra macchina.
Questi risultati arrivano quasi tre mesi dopo che Lumen Black Lotus Labs ha rivelato che router di fascia business sono stati vittimizzati per spiare le vittime in America Latina, Europa e Nord America utilizzando un malware chiamato HiatusRAT.