
The Hacker News
The Hacker News
Cyberthreat.id - Router Linux di Jepang kini sedang menjadi target trojan akses jarak jauh Golang baru (RAT) yang disebut GobRAT.
"Awalnya, penyerang menargetkan router yang WEBUI-nya terbuka untuk umum, mengeksekusi skrip yang mungkin menggunakan kerentanan, dan akhirnya menginfeksi GobRAT," kata Pusat Koordinasi JPCERT (JPCERT/CC) dalam laporannya sebagaimana dikutip The Hacker News.
Kompromi dari router yang terpapar internet diikuti oleh penyebaran skrip loader yang bertindak sebagai saluran untuk mengirimkan GobRAT, yang ketika diluncurkan, menyamar sebagai proses daemon Apache (apached) untuk menghindari deteksi.
Loader juga dilengkapi untuk menonaktifkan firewall, menetapkan persistensi menggunakan penjadwal tugas cron, dan mendaftarkan kunci publik SSH di file .ssh/authorized_keys untuk akses jarak jauh.
GobRAT, pada bagiannya, berkomunikasi dengan server jarak jauh melalui protokol Transport Layer Security (TLS) untuk menerima sebanyak 22 perintah terenkripsi yang berbeda untuk dieksekusi.
Beberapa perintah utama adalah sebagai berikut -
Temuan ini muncul hampir tiga bulan setelah Lumen Black Lotus Labs mengungkapkan bahwa router kelas bisnis telah menjadi korban untuk memata-matai korban di Amerika Latin, Eropa, dan Amerika Utara menggunakan malware bernama HiatusRAT.[]
Share: