Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Новый троян удалённого доступа нацелен на Linux-маршрутизаторы

30/05/23

shutterstock_607183886-1-compressor

В Японии зафиксированы атаки на Linux-роутеры с помощью нового трояна удалённого доступа GobRAT, написанного на языке Go. Об этом сообщил Центр координации компьютерного реагирования JPCERT в своём отчете, опубликованном 29 мая, передает Securitylab.

Атакующие нацеливаются на роутеры, у которых веб-оболочка открыта для публичного доступа, и используют уязвимости для выполнения скриптов и заражения GobRAT. После компрометации роутера злоумышленники разворачивают скрипт-загрузчик, который доставляет GobRAT и запускает его под видом процесса Apache, чтобы избежать обнаружения.

Скрипт-загрузчик также обладает способностью отключать брандмауэры, устанавливать своё постоянство с помощью планировщика заданий cron и регистрировать публичный ключ SSH в файле «.ssh/authorized_keys» для удалённого доступа.

GobRAT, в свою очередь, общается с удалённым сервером по протоколу TLS и может получать различные зашифрованные команды для выполнения на целевом устройстве. Всего рассмотренный исследователями вредонос поддерживает 22 команды, среди которых, например:

  • получение информации об устройстве;
  • запуск обратной оболочки;
  • чтение и запись файлов;
  • конфигурация нового C2-сервера;
  • запуск SOCKS5-прокси;
  • выполнение файлов в каталоге «/zone/frpc»;
  • попытка входа в службы sshd, Telnet, Redis, MySQL, PostgreSQL, работающие на других устройствах;
  • запуск целенаправленных DDoS-атак.

GobRAT — это один из немногих троянов удалённого доступа, написанных на языке Go и использующих протокол сериализации данных «gob» для коммуникации. GobRAT упакован с помощью UPX версии 4 и поддерживает различные архитектуры, такие как ARM, MIPS, x86 и x86-64.

JPCERT также опубликовал на GitHub специальный инструмент для эмуляции C2-сервера GobRAT, который может помочь другим исследователям безопасности самостоятельно проанализировать вредонос.

Развитие подобных угроз лишь подчёркивает необходимость своевременного выявления вредоносных программ, поражающих интернет-роутеры, так как их потенциальный ущерб весьма серьёзен. В марте мы упоминали другую схожую киберугрозу под названием HiatusRAT, нацеленную на маршрутизаторы бизнес-класса DrayTek для тайного шпионажа за жертвами в Европе, а также Латинской и Северной Америке.

Темы:LinuxПреступлениямаршрутизаторыRAT-трояны
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...