Novo Trojan Linux ‘Krasue’ direcionado a empresas de telecomunicações na Tailândia. Um trojan de acesso remoto Linux até então desconhecido, chamado Krasue, foi observado visando empresas de telecomunicações na Tailândia por agentes de ameaças para principal acesso secreto às redes das vítimas em locação desde 2021.
Nomeado em homenagem a um espírito feminino noturno do folclore do Sudeste Asiático, o malware é “capaz de ocultar sua própria presença durante a fase de inicialização”, disse o Group-IB em um relatório compartilhado com o The Hacker News.
O vetor de acesso inicial exato usado para implantar o Krasue não é conhecido atualmente, embora se suspeite que possa ser por meio de exploração de vulnerabilidades, ataques de força bruta de credenciais ou download como parte de um pacote de software ou binário falso.
Novo Trojan Linux furtivo ‘Krasue’ direcionado a empresas de telecomunicações na Tailândia
As principais funcionalidades do malware são realizadas através de um rootkit que permite manter a persistência no host sem atrair qualquer atenção. O rootkit é derivado de projetos de código aberto como Diamorphine, Suterusu e Rooty.
Isto levantou a possibilidade de o Krasue ser implantado como parte de uma botnet ou vendido por corretores de acesso inicial a outros cibercriminosos, como afiliados de ransomware, que procuram obter acesso a um alvo específico.
“O rootkit pode conectar o syscall kill(), funções relacionadas à rede e operações de listagem de arquivos para ocultar suas atividades e evitar a detecção”, disse Sharmine Low, analista de malware do Group-IB.
“Notavelmente, Krasue usa mensagens RTSP (Real Time Streaming Protocol) para servir como um ‘ping ativo’ disfarçado, uma tática raramente vista na natureza.”
As comunicações de comando e controle (C2) do trojan permitem ainda que ele designe um IP de comunicação como seu servidor C2 mestre upstream, obtenha informações sobre o malware e até mesmo se encerre.
Mais novidades
Krasue também compartilha várias semelhanças de código-fonte com outro malware Linux chamado XorDdos, indicando que foi desenvolvido pelo mesmo autor deste último ou por atores que tiveram acesso ao seu código-fonte.
O Group-IB disse que até agora identificou um caso confirmado e que está investigando três outros incidentes potenciais nos quais o malware foi usado. Mas suspeita-se que o número de empresas visadas possa ser maior.
“A informação disponível não é suficiente para apresentar uma atribuição conclusiva quanto ao criador do Krasue, ou aos grupos que o estão a aproveitar, mas o fato de estes programas maliciosos serem capazes de permanecer sob o radar por longos períodos faz com que seja claro que a vigilância contínua e melhores medidas de segurança são necessárias”, disse Low.