Roteadores Linux no Japão são alvo de um novo trojan de acesso remoto Golang (RAT) chamado GobRAT.
"Inicialmente, o atacante mira em um roteador cujo WEBUI está aberto ao público, executa scripts possivelmente usando vulnerabilidades e, finalmente, infecta o GobRAT", disse o Centro de Coordenação JPCERT (JPCERT/CC) em um relatório publicado hoje.
A comprometimento de um roteador exposto à internet é seguido pela implantação de um script de carregamento que atua como um canal para entrega do GobRAT, que, quando lançado, se disfarça como o processo do daemon Apache (apached) para evitar detecção.
O carregador também está equipado para desativar firewalls, estabelecer persistência usando o agendador de tarefas cron e registrar uma chave pública SSH no arquivo .ssh/authorized_keys para acesso remoto.
O GobRAT, por sua vez, se comunica com um servidor remoto via protocolo de segurança da camada de transporte (TLS) para receber até 22 comandos criptografados diferentes para execução.
Alguns dos principais comandos são os seguintes:
- Obter informações da máquina
- Executar shell reverso
- Ler/escrever arquivos
- Configurar novo comando e controle (C2) e protocolo
- Iniciar proxy SOCKS5
- Executar arquivo em /zone/frpc e
- Tentar fazer login em serviços sshd, Telnet, Redis, MySQL, PostgreSQL em outra máquina.
As descobertas vêm quase três meses depois que a Lumen Black Lotus Labs revelou que roteadores de nível empresarial foram vítimas de espionagem em vítimas na América Latina, Europa e América do Norte usando um malware chamado HiatusRAT.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...