Los enrutadores Linux en Japón son el objetivo de un nuevo troyano de acceso remoto (RAT) Golang llamado GobRAT.
“Inicialmente, el atacante apunta a un enrutador cuya WEBUI está abierta al público, ejecuta scripts posiblemente usando vulnerabilidades y finalmente infecta el GobRAT”, el Centro de Coordinación JPCERT (JPCERT/CC) dicho en un informe publicado hoy.
El compromiso de un enrutador expuesto a Internet es seguido por la implementación de un script de carga que actúa como un conducto para entregar GobRAT, que, cuando se inicia, se hace pasar por el proceso del demonio Apache (apagado) para evadir la detección.
El cargador también está equipado para deshabilitar firewalls, establecer persistencia utilizando el programador de trabajos cron y registrar una clave pública SSH en el Archivo .ssh/authorized_keys para acceso remoto.
GobRAT, por su parte, se comunica con un servidor remoto a través de Transport Layer Security (TLS) para recibir hasta 22 comandos cifrados diferentes para su ejecución.
Algunos de los comandos principales son los siguientes:
- Obtener información de la máquina
- Ejecutar shell inverso
- Leer/escribir archivos
- Configurar nuevo comando y control (C2) y protocolo
- Inicie el proxy SOCKS5
- Ejecutar archivo en /zona/frpcy
- Intente iniciar sesión en los servicios sshd, Telnet, Redis, MySQL, PostgreSQL que se ejecutan en otra máquina
Los hallazgos se producen casi tres meses después de que Lumen Black Lotus Labs revelara que los enrutadores de nivel empresarial han sido víctimas para espiar a las víctimas en América Latina, Europa y América del Norte utilizando un malware llamado HiatusRAT.