JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月29日、「Linuxルータを狙ったGo言語で書かれたマルウェアGobRAT - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、国内のLinuxルータに感染するマルウェアの脅威について伝えた。2023年2月に観測されたこの新たなマルウェアは「GobRAT」と名付けられている。
-
Linuxルータを狙ったGo言語で書かれたマルウェアGobRAT - JPCERT/CC Eyes
GobRATはGo言語で開発されている遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)型マルウェア。C2サーバとTLS通信を行い、多くのコマンドを実行することが可能とされている。またARM、MIPS、x86、x86-64など、さまざまなアーキテクチャの検体が確認されており、起動時は自身のIPアドレスとMACアドレス、uptimeコマンドによる稼働時間、/proc/net/devによるネットワークの通信状況などをチェックし、保持する機能が提供されている。
-
攻撃の流れ
WebUIが外向けに公開されていてかつ脆弱性を持つルータがこの感染攻撃に狙われる。攻撃者はルータへの侵入に成功するとさまざまなスクリプトを実行し、最終的にこのマルウェアに感染させることがわかった。GobRATにはC2サーバからの命令により実行される22のコマンドがあるとされ、特にルータをターゲットとしているため、通信に関連する機能が多く用意されている。コマンドにはfrpcやsocks5、通信先の再設定などの機能が含まれていることが確認されている。
さまざまなプラットフォームに対応しているGo言語を使用したマルウェアが散見されるようになってきており、ルータに感染したマルウェアは検出や解析が困難であるため、注意が必要とされている。継続的な監視を実施し、マルウェアに対する対策を高めることが求められている。
