Ранее неизвестный троянец удаленного доступа Linux под названием Krasue был замечен атакующими телекоммуникационные компании в Таиланде злоумышленниками для получения основного скрытого доступа к сетям жертвы в аренду с 2021 года.
Названный в честь ночного женского духа фольклора Юго-Восточной Азии, вредоносное ПО "способно скрывать свое присутствие на этапе инициализации", говорится в отчете Group-IB, опубликованном в Hacker News.
Точный начальный вектор доступа, используемый для развертывания Krasue, в настоящее время неизвестен, хотя предполагается, что это может быть использование уязвимости, атаки методом перебора учетных данных или загрузка как части поддельного программного пакета или бинарного файла. Масштаб кампании таков.
Основные функциональные возможности вредоносного ПО реализуются с помощью руткита, который позволяет ему сохранять работоспособность на хостинге, не привлекая никакого внимания. Руткит является производным от проектов с открытым исходным кодом, таких как Diamorphine, Suterusu и Rooty.
Это повысило вероятность того, что Krasue либо внедрен как часть ботнета, либо продан брокерами начального доступа другим киберпреступникам, таким как филиалы программ-вымогателей, которые хотят получить доступ к определенной цели.
"Руткит может перехватывать системный вызов `kill()`, сетевые функции и операции со списком файлов, чтобы скрыть свою деятельность и избежать обнаружения", - сказала Шармин Лоу, аналитик по вредоносным программам Group-IB.
"Примечательно, что Krasue использует RTSP (протокол потоковой передачи в реальном времени) сообщений для маскировки "живого пинга" - тактика, редко встречающаяся в дикой природе".
Командно-контрольные коммуникации трояна (C2) также позволяют ему назначать IP-адрес для связи в качестве основного вышестоящего сервера C2, получать информацию о вредоносном ПО и даже завершать работу.
Krasue также имеет несколько общих исходных кодов с другой вредоносной программой для Linux под названием XorDdos, что указывает на то, что она была разработана тем же автором, что и последняя, или злоумышленниками, имевшими доступ к ее исходному коду.
"Имеющейся информации недостаточно, чтобы выдвинуть убедительную версию о создателе Krasue или группах, которые используют его в своих целях, но тот факт, что эти вредоносные программы способны оставаться незамеченными в течение длительного времени, ясно показывает, что необходимы постоянная бдительность и более эффективные меры безопасности", - сказал Лоу.
Названный в честь ночного женского духа фольклора Юго-Восточной Азии, вредоносное ПО "способно скрывать свое присутствие на этапе инициализации", говорится в отчете Group-IB, опубликованном в Hacker News.
Точный начальный вектор доступа, используемый для развертывания Krasue, в настоящее время неизвестен, хотя предполагается, что это может быть использование уязвимости, атаки методом перебора учетных данных или загрузка как части поддельного программного пакета или бинарного файла. Масштаб кампании таков.
Основные функциональные возможности вредоносного ПО реализуются с помощью руткита, который позволяет ему сохранять работоспособность на хостинге, не привлекая никакого внимания. Руткит является производным от проектов с открытым исходным кодом, таких как Diamorphine, Suterusu и Rooty.
Это повысило вероятность того, что Krasue либо внедрен как часть ботнета, либо продан брокерами начального доступа другим киберпреступникам, таким как филиалы программ-вымогателей, которые хотят получить доступ к определенной цели.
"Руткит может перехватывать системный вызов `kill()`, сетевые функции и операции со списком файлов, чтобы скрыть свою деятельность и избежать обнаружения", - сказала Шармин Лоу, аналитик по вредоносным программам Group-IB.
"Примечательно, что Krasue использует RTSP (протокол потоковой передачи в реальном времени) сообщений для маскировки "живого пинга" - тактика, редко встречающаяся в дикой природе".
Командно-контрольные коммуникации трояна (C2) также позволяют ему назначать IP-адрес для связи в качестве основного вышестоящего сервера C2, получать информацию о вредоносном ПО и даже завершать работу.
Krasue также имеет несколько общих исходных кодов с другой вредоносной программой для Linux под названием XorDdos, что указывает на то, что она была разработана тем же автором, что и последняя, или злоумышленниками, имевшими доступ к ее исходному коду.
"Имеющейся информации недостаточно, чтобы выдвинуть убедительную версию о создателе Krasue или группах, которые используют его в своих целях, но тот факт, что эти вредоносные программы способны оставаться незамеченными в течение длительного времени, ясно показывает, что необходимы постоянная бдительность и более эффективные меры безопасности", - сказал Лоу.
