New GobRAT Remote Access Trojan Targeting Linux Routers in Japan
2023/05/29 TheHackerNews — 日本国内において、Linux ルーターが、新たな Golang RAT である GobRAT の標的になっている。今日の JPCERT Coordination Center (JPCERT/CC) の報告によると、「この攻撃者は、最初に WebUI が公開されているルーターを狙い、脆弱性を悪用するスクリプトを実行し、最終的に GobRAT に感染させている」と述べている。
インターネットに公開されたルーターが侵害されると、GobRAT を配信するための導線となる ローダー・スクリプトが展開され、起動時にApache のデーモン・プロセスを装うことで検知が回避される。
このローダーは、ファイアウォールの無効化および、cron ジョブスケジューラによる永続性の確立、リモートアクセス用の SSH 公開鍵の “.ssh/authorized_keys”ファイルへの登録などの機能も備えている。
GobRAT は、TLS (Transport Layer Security) プロトコルでリモートサーバと通信し、22種類もの暗号化されたコマンドを受信して実行するという。
主なコマンドの一部は以下の通りである:
- マシン情報の取得
- リバースシェルの実行
- ファイルの読取/書込
- 新しい Command and Control (C2) およびプロトコルの設定
- SOCKS5 プロキシの起動
- zone/frpc のファイルを実行
- 別のマシンで稼働している sshd/Telnet/Redis/MySQL/PostgreSQL などの、各サービスへのログイン試行
先日には、HiatusRAT というマルウェアを用いる Lumen Black Lotus Labs が、ビジネス・グレードのルーターを侵害して、ラテンアメリカ/ヨーロッパ/北米の被害者を偵察するという、スパイ行為が明らかにされていた。それから、約3ヶ月後に、今回の調査結果が公表されている。
パブリックなインターネット空間に、Web UI が公開されているルーターの、SSH がイニシャルの侵入経路になっているようです。2023/05/24 の「Volt Typhoon という中国の APT:グアムの重要インフラへの攻撃を Microsoft が検知」では、「ASUS/Cisco/D-Link/NETGEAR/Zyxel 製のデバイスの多くが、所有者の設定により、HTTP/SSH 管理インターフェースを公開している」という、Microsoft の指摘がありました。よろしければ、Router で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.