ルータ狙う「GobRAT」、IoC情報や解析支援ツールなど公開 - JPCERT/CC
JPCERTコーディネーションセンターは、Linuxベースのルータを標的とするマルウェア「GobRAT」の攻撃を国内で確認していることを明らかにした。同マルウェアの技術情報や通信内容の解析支援ツールを提供している。
同マルウェアは、プログラム言語「Go」にて開発されており、Linuxルータを標的とする感染活動を展開する「リモートアクセスツール(RAT)」。同センターでは、国内において2月ごろ、同マルウェアによる攻撃を確認したという。
外部に公開されているルータのウェブユーザーインタフェースを標的としており、攻撃者は「SSH」にて悪意あるスクリプトを実行。ルータのファイアウォール機能を無効化して同マルウェアをダウンロードして定期的に実行するよう設定していた。
「x86」「x64」「ARM」「MIPS」など幅広いCPUアーキテクチャに対応。感染後は外部のコマンド&コントロールサーバと通信を行う。通信先やコマンドなどは暗号化されていた。
通信にはGoで開発されたプログラム間でデータのやり取りを行う「gob」を使用。外部からの命令により22種類のコマンドが実行可能だった。
(Security NEXT - 2023/05/29 )
ツイート
関連リンク
PR
関連記事
ぴあチケットリセールサイトでキャッシュ設定ミス - 個人情報を誤表示
「Firefox 140」がリリース - 脆弱性13件を解消
「FortiOS」などFortinet複数製品に脆弱性 - アップデートを
個情委、学校の個人情報事故に注意喚起 - 紛失が5割弱、ICT化の影響も
「Cisco ISE」に深刻な脆弱性、root権限奪取も - 修正版を公開
「NetScaler ADC/Gateway」にゼロデイ脆弱性 - 早急に更新を
企業や団体宛ての同報メール件名にメールアドレスを誤記載 - 佐賀県
避難行動要支援者名簿が所在不明、差替時に判明 - 一関市
MDMサーバから従業員情報流出、削除データも - ジブラルタ生保
公開ファイルの個人情報非開示処理でミス - 階上町