Novo Trojan de acesso remoto GobRAT mirando em roteadores Linux no Japão
29 de Maio de 2023

Roteadores Linux no Japão são alvo de um novo trojan de acesso remoto Golang (RAT) chamado GobRAT.

"Inicialmente, o atacante mira em um roteador cujo WEBUI está aberto ao público, executa scripts possivelmente usando vulnerabilidades e, finalmente, infecta o GobRAT", disse o Centro de Coordenação JPCERT (JPCERT/CC) em um relatório publicado hoje.

A comprometimento de um roteador exposto à internet é seguido pela implantação de um script de carregamento que atua como um canal para entrega do GobRAT, que, quando lançado, se disfarça como o processo do daemon Apache (apached) para evitar detecção.

O carregador também está equipado para desativar firewalls, estabelecer persistência usando o agendador de tarefas cron e registrar uma chave pública SSH no arquivo .ssh/authorized_keys para acesso remoto.

O GobRAT, por sua vez, se comunica com um servidor remoto via protocolo de segurança da camada de transporte (TLS) para receber até 22 comandos criptografados diferentes para execução.

Alguns dos principais comandos são os seguintes:

- Obter informações da máquina
- Executar shell reverso
- Ler/escrever arquivos
- Configurar novo comando e controle (C2) e protocolo
- Iniciar proxy SOCKS5
- Executar arquivo em /zone/frpc e
- Tentar fazer login em serviços sshd, Telnet, Redis, MySQL, PostgreSQL em outra máquina.

As descobertas vêm quase três meses depois que a Lumen Black Lotus Labs revelou que roteadores de nível empresarial foram vítimas de espionagem em vítimas na América Latina, Europa e América do Norte usando um malware chamado HiatusRAT.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...