JPCERT/CCは5月29日、日本国内のルータを狙うマルウェア「GobRAT」に関する注意喚起を発表した。

「GobRAT」は、攻撃者がWEBUIにより外向けに開いているルータを狙って脆弱性などを突き、各種スクリプトを実行した後、最終的にマルウェア「GobRAT」を感染させる。攻撃時には、Firewall機能の無効化、マシンのアーキテクチャに合ったGobRATのダウンロード、Start Scriptの生成と永続化、Daemon Scriptの生成と実行、.ssh/authorized_keysへのSSH公開鍵の登録などを行う。GobRATの実行を行うStart Scriptは、起動開始時の時刻を「restart.log」というファイルへ書き込む点が特徴的。また、本スクリプトではGobRATを「apached」いうファイル名で実行しており、正規のプロセスに偽装している。

「GobRAT」はGo言語で実装された遠隔操作型トロイの木馬(RAT:Remote Administration Trojan)型マルウェア。狙われるルータはWebUIが外向けに公開され、かつ脆弱性を持つルータとなっている。ルーターに感染しているマルウェアは本マルウェアに限らず発見が難しいことからも、引き続き注意が必要としている。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス