Espansione della minaccia cibernetica: GobRAT mira ai router Linux in Giappone

Il mondo della sicurezza informatica è stato recentemente scosso da un nuovo trojan per accesso remoto, scritto in Golang e noto come GobRAT. Il bersaglio di questo insidioso software sono i router Linux in Giappone, e la sua strategia di attacco iniziale prevede l'individuazione di un router il cui WEBUI è liberamente accessibile al pubblico. Il trojan, poi, sfrutta potenziali vulnerabilità per eseguire script maligni, infettando infine il sistema con GobRAT. Questa scoperta è stata riportata dal JPCERT Coordination Center (JPCERT/CC) in un rapporto pubblicato oggi.

Tecniche e procedure dell'attacco: come funziona GobRAT

Una volta compromesso un router esposto su Internet, l'attacco continua con il lancio di un script loader. Questo funge da condotto per il delivery di GobRAT e, quando attivato, si camuffa come il processo daemon Apache (apached) per evitare di essere rilevato. Il loader ha la capacità di disabilitare i firewall e di stabilire una persistenza utilizzando il pianificatore di attività cron. Inoltre, può registrare una chiave pubblica SSH nel file .ssh/authorized_keys per garantire un accesso remoto.

Funzionalità di GobRAT: comandi e comunicazione remota

Il GobRAT non agisce isolatamente, ma mantiene un collegamento con un server remoto. La comunicazione avviene attraverso il protocollo di sicurezza del livello di trasporto (TLS), che consente al trojan di ricevere fino a 22 comandi crittografati differenti da eseguire. Tra i comandi principali ci sono l'ottenimento di informazioni sulla macchina, l'esecuzione di una shell inversa, la lettura e la scrittura di file, la configurazione di nuovi comandi di controllo (C2) e protocolli, l'avvio di un proxy SOCKS5, l'esecuzione di file in /zone/frpc, e il tentativo di accesso a servizi sshd, Telnet, Redis, MySQL, PostgreSQL in esecuzione su un'altra macchina.

Antecedenti e implicazioni: un crescente problema di sicurezza

Queste scoperte arrivano circa tre mesi dopo che Lumen Black Lotus Labs ha rivelato che i router di grado aziendale sono stati sfruttati per spiare vittime in America Latina, Europa e Nord America tramite un malware chiamato HiatusRAT. La comparsa di GobRAT aggiunge un ulteriore livello di complessità alla già intricata scena della sicurezza cibernetica, sottolineando l'importanza di mantenere aggiornate e protette le infrastrutture di rete.