GobRAT: новый троян удалённого доступа, который может превратить ваш Linux-роутер в зомби

[Artifact]

Пока что вредонос нацелен на японский рынок маршрутизаторов, но вполне может добраться и до других стран.

В Японии зафиксированы атаки на Linux-роутеры с помощью нового трояна удалённого доступа GobRAT, написанного на языке Go. Об этом сообщил Центр координации компьютерного реагирования JPCERT в своём отчете, опубликованном сегодня.
Атакующие нацеливаются на роутеры, у которых веб-оболочка открыта для публичного доступа, и используют уязвимости для выполнения скриптов и заражения GobRAT. После компрометации роутера злоумышленники разворачивают скрипт-загрузчик, который доставляет GobRAT и запускает его под видом процесса Apache, чтобы избежать обнаружения.
Скрипт-загрузчик также обладает способностью отключать брандмауэры, устанавливать своё постоянство с помощью планировщика заданий cron и регистрировать публичный ключ SSH в файле «.ssh/authorized_keys» для удалённого доступа.
GobRAT, в свою очередь, общается с удалённым сервером по протоколу TLS и может получать различные зашифрованные команды для выполнения на целевом устройстве. Всего рассмотренный исследователями вредонос поддерживает 22 команды, среди которых, например:

• получение информации об устройстве;

• запуск обратной оболочки;

• чтение и запись файлов;

• конфигурация нового C2-сервера;

• запуск SOCKS5-прокси;

• выполнение файлов в каталоге «/zone/frpc»;

• попытка входа в службы sshd, Telnet, Redis, MySQL, PostgreSQL, работающие на других устройствах;

• запуск целенаправленных DDoS-атак.

GobRAT — это один из немногих троянов удалённого доступа, написанных на языке Go и использующих протокол сериализации данных «gob» для коммуникации. GobRAT упакован с помощью UPX версии 4 и поддерживает различные архитектуры, такие как ARM, MIPS, x86 и x86-64.
JPCERT также опубликовал на GitHub специальный инструмент для эмуляции C2-сервера GobRAT, который может помочь другим исследователям безопасности самостоятельно проанализировать вредонос.
Развитие подобных угроз лишь подчёркивает необходимость своевременного выявления вредоносных программ, поражающих интернет-роутеры, так как их потенциальный ущерб весьма серьёзен. В марте мы упоминали другую схожую киберугрозу под названием HiatusRAT, нацеленную на маршрутизаторы бизнес-класса DrayTek для тайного шпионажа за жертвами в Европе, а также Латинской и Северной Америке.