GobRAT เป็น RAT ที่ใช้ภาษา Golang-based ซึ่งกำลังมุ่งเป้าหมายไปที่เราเตอร์ที่ใช้ Linux ในประเทศญี่ปุ่น โดยอาจใช้ช่องโหว่ที่มีอยู่แล้วเพื่อโจมตี เครื่องมือนี้มีความสามารถหลากหลาย และมุ่งเป้าหมายไปที่สถาปัตยกรรมที่หลากหลาย เช่น x86, x86-64, ARM, และ MIPS
ปฏิบัติการ GobRAT
JPCERT Coordination Center ได้เผยแพร่รายงานที่ยืนยันว่า GobRAT ได้แพร่กระจายในเราเตอร์ของญี่ปุ่นตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา
- การโจมตีเริ่มต้นด้วยการสแกนเปิดหาเราเตอร์ที่มี WEBUI ที่เข้าถึงได้จากอินเทอร์เน็ต
- มันจะพยายามเชื่อมต่อโดยอาจใช้ช่องโหว่ที่มีอยู่ก่อนแล้ว จากนั้นจึงเริ่มการติดตั้งมัลแวร์โดยเรียกใช้สคริปต์หลายรายการ
- สคริปต์แรกคือ Loader Script ที่ปิดการทำงานของไฟร์วอล เพื่อดาวน์โหลด GobRAT และรันสคริปต์เพิ่มเติม เช่น Start Script และ Daemon Script
- สคริปต์ Start Script ทำหน้าที่เรียกใช้ GobRAT โดยปลอมเป็น process Apache daemon (apache) ส่วนสคริปต์ Daemon Script จะตรวจสอบสถานะของ Start Script ทุก ๆ 20 วินาที เพื่อตรวจสอบให้แน่ใจว่าสคริปต์กำลังทำงานอยู่
รายละเอียด GobRAT
GobRAT ประกอบไปด้วย UPX v4 series และใช้โปรโคตอล TLS เพื่อสื่อสารกับ C2 Server
- หลังจากติดตั้งมัลแวร์แล้ว GobRAT จะสแกนเครื่องที่ถูกโจมตีเพื่อเก็บข้อมูล เช่น IP address, MAC address, เวลาที่เครื่องทำงาน และสถานะของการเชื่อมต่อในเครือข่าย
- ในซอร์สโค้ด คำสั่งสำหรับการเชื่อมต่อกับ C2 และคำสั่ง Linux จะถูกเข้ารหัสไว้ โดยโปรแกรมจะใช้โหมด AES128 CTR เพื่อถอดรหัสคำสั่งเหล่านั้น
- GobRAT รองรับรายการคำสั่งทั้งหมด 22 รายการ เพื่อการดำเนินการที่หลากหลาย รวมถึงการรับข้อมูลเครื่อง, อ่าน และเขียนไฟล์, เริ่มต้นการเชื่อมต่อ SOCKS5 socket, และการดำเนินการ reverse shell
- มัลแวร์จะพยายาม log in เข้าใช้บริการ Telnet, SSHD, MySQL, Redis, และ PostgreSQL บนเครื่องอื่น ๆ ทั่วทั้งเครือข่าย
GobRAT เป็นซอฟต์แวร์ที่ใช้ภาษา Golang-based อีกหนึ่งตัวที่พยายามใช้ช่องโหว่ในเราท์เตอร์ที่เผยแพร่ในอินเทอร์เน็ต การปล่อยให้เราท์เตอร์ขององค์กรสามารถเข้าถึงได้จากอินเทอร์เน็ตโดยไม่มีการตรวจสอบความปลอดภัยที่เหมาะสม เป็นการเชื้อเชิญให้ GobRAT และภัยคุกคามอื่น ๆ สามารถนำมาใช้เป็นช่องทางในการโจมตีได้
อ้างอิง :https://cyware.com/news/go-based-gobrat-targets-linux-routers-in-japan-7c6bb9be
You must be logged in to post a comment.