Cyberthreat.id - Router Linux di Jepang kini sedang menjadi target trojan akses jarak jauh Golang baru (RAT) yang disebut GobRAT.

"Awalnya, penyerang menargetkan router yang WEBUI-nya terbuka untuk umum, mengeksekusi skrip yang mungkin menggunakan kerentanan, dan akhirnya menginfeksi GobRAT," kata Pusat Koordinasi JPCERT (JPCERT/CC) dalam laporannya sebagaimana dikutip The Hacker News.

Kompromi dari router yang terpapar internet diikuti oleh penyebaran skrip loader yang bertindak sebagai saluran untuk mengirimkan GobRAT, yang ketika diluncurkan, menyamar sebagai proses daemon Apache (apached) untuk menghindari deteksi.

Loader juga dilengkapi untuk menonaktifkan firewall, menetapkan persistensi menggunakan penjadwal tugas cron, dan mendaftarkan kunci publik SSH di file .ssh/authorized_keys untuk akses jarak jauh.

GobRAT, pada bagiannya, berkomunikasi dengan server jarak jauh melalui protokol Transport Layer Security (TLS) untuk menerima sebanyak 22 perintah terenkripsi yang berbeda untuk dieksekusi.

Beberapa perintah utama adalah sebagai berikut -

• Obtain machine information
• Execute reverse shell
• Read/write files
• Configure new command-and-control (C2) and protocol
• Start SOCKS5 proxy
• Execute file in /zone/frpc, and
• Attempt to login to sshd, Telnet, Redis, MySQL, PostgreSQL services running on another machine

Temuan ini muncul hampir tiga bulan setelah Lumen Black Lotus Labs mengungkapkan bahwa router kelas bisnis telah menjadi korban untuk memata-matai korban di Amerika Latin, Eropa, dan Amerika Utara menggunakan malware bernama HiatusRAT.[]