Pesquisadores de segurança descobriram um trojan de acesso remoto, nomeado Krasue, que está mirando sistemas Linux de empresas de telecomunicações e conseguiu permanecer indetectado desde 2021.
Eles descobriram que o binário de Krasue inclui sete variantes de um rootkit que suporta várias versões do kernel do Linux e é baseado em código de três projetos de código aberto.
Segundo pesquisadores da empresa de cibersegurança Group-IB, a principal função do malware é manter o acesso ao hospedeiro, o que pode sugerir que ele é implantado por meio de uma botnet ou vendido por intermediários de acesso inicial para atores de ameaças que buscam acesso a um alvo específico.
Os pesquisadores acreditam que o trojan de acesso remoto Krasue (RAT) pode ser implantado em uma fase posterior do ataque especificamente para manter o acesso ao host vítima.
Não está claro como o malware está sendo distribuído, mas ele pode ser entregue após explorar uma vulnerabilidade, resultante de um ataque de força bruta de credencial, ou até mesmo baixado de uma fonte não confiável como um pacote ou binário falsificado como um produto legítimo.
O alvo do Krasue parece ser limitado às empresas de telecomunicações na Tailândia.
A análise do Group-IB revelou que o rootkit no binário RAT do Krasue é um Módulo de Kernel do Linux (LKM) que se disfarça de um driver VMware sem assinatura após ser executado.
Rootkits de nível de kernel são difíceis de detectar e remover porque operam no mesmo nível de segurança do sistema operacional.
O rootkit suporta as versões do Kernel do Linux 2.6x / 3.10.x, o que lhe permite permanecer sob o radar porque servidores Linux mais antigos normalmente têm uma cobertura ruim de Detecção e Resposta de Ponto de Extremidade, dizem os pesquisadores.
O Group-IB descobriu que todas as sete versões do rootkit incorporadas possuem as mesmas capacidades de gancho de chamada de sistema e função e usam o mesmo nome falso de "VMware User Mode Helper".
Ao analisar o código, os pesquisadores determinaram que o rootit se baseia em três rootkits LKM de código aberto, especificamente Diamorfina, Suterusu e Rooty, todos disponíveis desde pelo menos 2017.
O rootkit Krasue pode ocultar ou desocultar portas, tornar processos invisíveis, fornecer privilégio de root e executar o comando kill para qualquer ID de processo.
Ele também pode ocultar seus vestígios ao esconder arquivos e diretórios relacionados ao malware.
Ao comunicar-se com o servidor de comando e controle (C2), Krasue pode aceitar os seguintes comandos:
ping – Responda com `pong`
master – Defina o C2 principal a montante
info – Obtenha informações sobre o malware: pid principal, pid filho e seu status, como "root: adquiriu permissões de root", "god: processo incapacitado para ser morto", "hidden: processo é oculto", "module: rootkit está carregado"
restart – Reinicie o processo filho
respawn – Reinicie o processo principal
god die – Mate-se
O Group-IB descobriu nove IPs distintos de C2 codificados no malware, sendo que um deles utiliza a porta 554, que é comum em conexões RTSP (Real Time Streaming Protocol).
Usar o protocolo de rede de aplicação RTPS para comunicação de malware C2 não é muito comum e pode ser vista como uma particularidade no caso de Krasue.
RTSP é um protocolo de controle de rede projetado para servidores de mídia de fluxo contínuo, ajudando a estabelecer e controlar sessões de reprodução de mídia para transmissões de vídeo e áudio, navegação na mídia, gerenciamento de transmissões de conferência e muito mais.
Embora a origem do malware Krasue seja desconhecida, os pesquisadores encontraram no rootkit algumas superposições com o rootkit de outro malware de Linux chamado XorDdos.
O Group-IB acredita que isso é um indicativo de que as duas famílias de malware têm um autor / operador comum.
Também é possível que o desenvolvedor do Krasue tenha tido acesso ao código do XorDdos.
No momento, o tipo de ator de ameaça por trás do Krause ainda é um mistério, mas a empresa de cibersegurança compartilhou indicadores de comprometimento e regras YARA para ajudar os defensores a detectar essa ameaça e talvez encorajar outros pesquisadores a publicar o que sabem sobre o malware.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...