Ճապոնիայում Linux router-ները նոր՝ Golang remote access trojan (RAT)-ի թիրախ են դարձել, որը մեկ բառով կոչվում է՝ GobRAT:
Internet-exposed router-ի փոխզիջմանը հաջորդում է loader-ի սկրիպտի տեղակայումը: Այն գործում է որպես խողովակ GobRAT-ի փոխանցման և տարածման համար, ինչն էլ գործարկվելիս կերպարանափոխվում է Apache daemon գործընթացի՝ (apached) հայտնաբերումից ու վնասազերծումից խուսափելու համար:
Loader սարքավորված է նաև անջատելու firewall-երը՝ օգտագործելով cron-ի ժամանակացույցը և ssh/authorized_keys ֆայլում remote access-ի համար որպես SSH public key գրանցելու համար:
GobRAT-ն, իր հերթին, հաղորդակցվում է remote server-ի հետ Transport Layer Security (TLS) protocol-ի միջոցով, որպեսզի ստանա մինչև 22 տարբեր կոդավորված հրամաններ:
Հիմնական հրամաններ են՝
- Համակարգի տեղեկատվության ձեռքբերում
- Execute reverse shell
- Ֆայլերի ընթերցում/գրում
- Նոր command-and-control (C2) և protocol-ի կազմավորում
- SOCKS5 proxy-ի գործարկում
- file in /zone/frpc-ի գործարկում
- Հասնաելիություն՝ sshd, Telnet, Redis, MySQL, PostgreSQL ծառայություններին
Փորձագիտական ուսումնասիրություններն արձանագրվեցին և հրապարակվեցին այն ժամանակ, երբ Lumen Black Lotus Labs-ը բացահայտեց, որ օգտագործելով HiatusRAT malware-ները, business-grade router-ները թիրախավորվել են՝ Լատինական Ամերիկայի, Եվրոպայի և Հյուսիսային Ամերիկայի օգտատերերին:
Աղբյուրը՝ https://thehackernews.com/
