Japonya’daki Linux yönlendiricileri, adı verilen yeni bir Golang uzaktan erişim truva atının (RAT) hedefidir. Sıçan.
JPCERT Koordinasyon Merkezi (JPCERT/CC) bugün yayınlanan bir raporda, “Başlangıçta, saldırgan WEBUI’si halka açık olan bir yönlendiriciyi hedefliyor, muhtemelen güvenlik açıklarını kullanarak komut dosyalarını yürütüyor ve sonunda GobRAT’a bulaşıyor” dedi.
İnternete maruz kalan bir yönlendiricinin ele geçirilmesini, başlatıldığında tespit edilmekten kaçınmak için Apache arka plan programı süreci (apached) kılığına giren GobRAT’ı teslim etmek için bir kanal görevi gören bir yükleyici komut dosyasının konuşlandırılması izler.
Yükleyici ayrıca güvenlik duvarlarını devre dışı bırakacak, cron iş zamanlayıcısını kullanarak kalıcılık sağlayacak ve uzaktan erişim için .ssh/yetkili_keys dosyasına bir SSH ortak anahtarı kaydedecek donanıma sahiptir.
GobRAT, yürütme için 22 adede kadar farklı şifreli komut almak üzere Aktarım Katmanı Güvenliği (TLS) protokolü aracılığıyla uzak bir sunucuyla iletişim kurar.
Başlıca komutlardan bazıları şunlardır:
- makine bilgilerini al
- Ters kabuğu yürüt
- Dosyaları oku/yaz
- Yeni komut ve kontrol (C2) ve protokolü yapılandırın
- SOCKS5 proxy’sini başlat
- Dosyayı /zone/frpc konumunda yürütün ve
- Başka bir makinede çalışan sshd, Telnet, Redis, MySQL, PostgreSQL servislerine giriş denemesi
Bulgular, Lumen Black Lotus Labs’ın ticari sınıf yönlendiricilerin HiatusRAT adlı bir kötü amaçlı yazılım kullanarak Latin Amerika, Avrupa ve Kuzey Amerika’daki kurbanları gözetlemek için kurban edildiğini açıklamasından yaklaşık üç ay sonra geldi.