30.05.2023 | GobRAT: новый троян удалённого доступа, который может превратить ваш Linux-роутер в зомби |
В Японии зафиксированы атаки на Linux -роутеры с помощью нового трояна удалённого доступа GobRAT, написанного на языке Go. Об этом сообщил Центр координации компьютерного реагирования JPCERT в своём отчете, опубликованном сегодня. Атакующие нацеливаются на роутеры, у которых веб-оболочка открыта для публичного доступа, и используют уязвимости для выполнения скриптов и заражения GobRAT. После компрометации роутера злоумышленники разворачивают скрипт-загрузчик, который доставляет GobRAT и запускает его под видом процесса Apache , чтобы избежать обнаружения. Скрипт-загрузчик также обладает способностью отключать брандмауэры, устанавливать своё постоянство с помощью планировщика заданий cron и регистрировать публичный ключ SSH в файле «.ssh/authorized_keys» для удалённого доступа. GobRAT, в свою очередь, общается с удалённым сервером по протоколу TLS и может получать различные зашифрованные команды для выполнения на целевом устройстве. Всего рассмотренный исследователями вредонос поддерживает 22 команды, среди которых, например:
GobRAT — это один из немногих троянов удалённого доступа, написанных на языке Go и использующих протокол сериализации данных «gob» для коммуникации. GobRAT упакован с помощью UPX версии 4 и поддерживает различные архитектуры, такие как ARM, MIPS, x86 и x86-64. JPCERT также опубликовал на GitHub специальный инструмент для эмуляции C2-сервера GobRAT, который может помочь другим исследователям безопасности самостоятельно проанализировать вредонос. Развитие подобных угроз лишь подчёркивает необходимость своевременного выявления вредоносных программ, поражающих интернет-роутеры, так как их потенциальный ущерб весьма серьёзен. В марте мы упоминали другую схожую киберугрозу под названием HiatusRAT, нацеленную на маршрутизаторы бизнес-класса DrayTek для тайного шпионажа за жертвами в Европе, а также Латинской и Северной Америке. |
|
Проверить безопасность сайта
