Pesquisadores de segurança descobriram um malware de acesso remoto chamado Krasue, que tem como alvo sistemas Linux de empresas de telecomunicações. O trojan conseguiu passar despercebido no Linux desde 2021.
Malware Krasue RAT mira em servidores Linux
De acordo com as informações descobertas pelos pesquisadores (Via: Bleeping Computer), o binário de Krasue inclui sete variantes de um rootkit que suporta múltiplas versões do kernel Linux e é baseado no código de três projetos de código aberto. Os investigadores da empresa de cibersegurança Group-IB, descobriram que a principal função do malware é manter o acesso ao anfitrião, o que pode sugerir que é implantado através de uma botnet ou vendido por corretores de acesso inicial a agentes de ameaças que procuram acesso a um alvo específico.
Os pesquisadores acreditam que o trojan de acesso remoto (RAT) Krasue pode ser implantado durante uma fase posterior do ataque, especificamente para manter o acesso ao host da vítima. Não está claro como o malware está sendo distribuído, mas ele pode ser entregue após a exploração de uma vulnerabilidade, após um ataque de força bruta de credencial ou até mesmo baixado de uma fonte não confiável como um pacote ou binário que se faz passar por um produto legítimo. A segmentação de Krasue parece estar limitada às empresas de telecomunicações na Tailândia.
Rootkits dentro
A análise do Group-IB revelou que o rootkit dentro do binário do Krasue RAT é um Módulo Kernel Linux (LKM) que se disfarça como um driver VMware não assinado após ser executado. Os rootkits no nível do kernel são difíceis de detectar e remover porque operam no mesmo nível de segurança do sistema operacional.
O rootkit suporta versões do kernel Linux 2.6x/3.10.x, o que permite que ele permaneça fora do radar porque servidores Linux mais antigos normalmente têm cobertura ruim de detecção e resposta de endpoint, dizem os pesquisadores.
Notícias Relacionadas
Ataque crescente
Nova variante do ransomware 'Helldown' atinge sistemas VMware e Linux
A variante Helldown, que já afeta sistemas Windows, agora também atinge ambientes VMware e Linux, ampliando seu impacto. Pesquisas indicam que os atacantes podem estar evoluindo suas estratégias.
Abuso digital
Como playlists e podcasts do Spotify estão sendo usados para promover software pirata e fraudes
Spotify está sendo explorado para promover software pirata, cheats de jogos e links fraudulentos, usando playlists e podcasts para melhorar o SEO de sites duvidosos.
O Group-IB descobriu que todas as sete versões de rootkit incorporadas apresentam os mesmos recursos de chamada de sistema e de chamada de função e usam o mesmo nome falso “VMware User Mode Helper”. Olhando para o código, os pesquisadores determinaram que o rootit é baseado em três rootkits LKM de código aberto, especificamente Diamorphine , Suterusu e Rooty , todos disponíveis desde pelo menos 2017.
O rootkit Krasue pode ocultar ou exibir portas, tornar processos invisíveis, fornecer privilégios de root e executar o comando kill para qualquer ID de processo. Ele também pode cobrir seus rastros ocultando arquivos e diretórios relacionados a malware.
O Grupo-IB descobriu nove endereços IP C2 distintos codificados no malware, um deles usando a porta 554, que é comum em conexões RTSP (Real Time Streaming Protocol). O uso do protocolo de rede em nível de aplicativo RTPS para comunicação de malware C2 não é muito comum e pode ser visto como uma particularidade no caso de Krasue.
Embora a origem do malware Krasue seja desconhecida, os pesquisadores descobriram na parte do rootkit algumas sobreposições com o rootkit de outro malware Linux chamado XorDdos. O Grupo-IB acredita que esta é uma indicação de que as duas famílias de malware têm um autor/operador comum. Também é possível que o desenvolvedor do Krasue também tenha tido acesso ao código XorDdos.
Neste momento, o tipo de agente de ameaça por trás de Krause ainda é um mistério, mas a empresa de segurança cibernética partilhou indicadores de comprometimento e regras YARA para ajudar os defensores a detectar esta ameaça e talvez encorajar outros investigadores a publicar o que sabem sobre o malware.
