GobRAT เป็น RAT ที่ใช้ภาษา Golang-based ซึ่งกำลังมุ่งเป้าหมายไปที่เราเตอร์ที่ใช้ Linux ในประเทศญี่ปุ่น โดยอาจใช้ช่องโหว่ที่มีอยู่แล้วเพื่อโจมตี เครื่องมือนี้มีความสามารถหลากหลาย และมุ่งเป้าหมายไปที่สถาปัตยกรรมที่หลากหลาย เช่น x86, x86-64, ARM, และ MIPS

ปฏิบัติการ GobRAT

JPCERT Coordination Center ได้เผยแพร่รายงานที่ยืนยันว่า GobRAT ได้แพร่กระจายในเราเตอร์ของญี่ปุ่นตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา

การโจมตีเริ่มต้นด้วยการสแกนเปิดหาเราเตอร์ที่มี WEBUI ที่เข้าถึงได้จากอินเทอร์เน็ต
มันจะพยายามเชื่อมต่อโดยอาจใช้ช่องโหว่ที่มีอยู่ก่อนแล้ว จากนั้นจึงเริ่มการติดตั้งมัลแวร์โดยเรียกใช้สคริปต์หลายรายการ
สคริปต์แรกคือ Loader Script ที่ปิดการทำงานของไฟร์วอล เพื่อดาวน์โหลด GobRAT และรันสคริปต์เพิ่มเติม เช่น Start Script และ Daemon Script
สคริปต์ Start Script ทำหน้าที่เรียกใช้ GobRAT โดยปลอมเป็น process Apache daemon (apache) ส่วนสคริปต์ Daemon Script จะตรวจสอบสถานะของ Start Script ทุก ๆ 20 วินาที เพื่อตรวจสอบให้แน่ใจว่าสคริปต์กำลังทำงานอยู่

รายละเอียด GobRAT

GobRAT ประกอบไปด้วย UPX v4 series และใช้โปรโคตอล TLS เพื่อสื่อสารกับ C2 Server

หลังจากติดตั้งมัลแวร์แล้ว GobRAT จะสแกนเครื่องที่ถูกโจมตีเพื่อเก็บข้อมูล เช่น IP address, MAC address, เวลาที่เครื่องทำงาน และสถานะของการเชื่อมต่อในเครือข่าย
ในซอร์สโค้ด คำสั่งสำหรับการเชื่อมต่อกับ C2 และคำสั่ง Linux จะถูกเข้ารหัสไว้ โดยโปรแกรมจะใช้โหมด AES128 CTR เพื่อถอดรหัสคำสั่งเหล่านั้น
GobRAT รองรับรายการคำสั่งทั้งหมด 22 รายการ เพื่อการดำเนินการที่หลากหลาย รวมถึงการรับข้อมูลเครื่อง, อ่าน และเขียนไฟล์, เริ่มต้นการเชื่อมต่อ SOCKS5 socket, และการดำเนินการ reverse shell
มัลแวร์จะพยายาม log in เข้าใช้บริการ Telnet, SSHD, MySQL, Redis, และ PostgreSQL บนเครื่องอื่น ๆ ทั่วทั้งเครือข่าย

GobRAT เป็นซอฟต์แวร์ที่ใช้ภาษา Golang-based อีกหนึ่งตัวที่พยายามใช้ช่องโหว่ในเราท์เตอร์ที่เผยแพร่ในอินเทอร์เน็ต การปล่อยให้เราท์เตอร์ขององค์กรสามารถเข้าถึงได้จากอินเทอร์เน็ตโดยไม่มีการตรวจสอบความปลอดภัยที่เหมาะสม เป็นการเชื้อเชิญให้ GobRAT และภัยคุกคามอื่น ๆ สามารถนำมาใช้เป็นช่องทางในการโจมตีได้

อ้างอิง :https://cyware.