Daha önce bilinmeyen Krasue adlı bir Linux uzaktan erişim truva atının, 2021 yılından bu yana kiralanan kurban ağlarına gizli erişim sağlamak amacıyla tehdit aktörleri tarafından Tayland’daki telekom şirketlerini hedef aldığı gözlemlendi.
Adını bir gece kadın ruhu Group-IB, Güneydoğu Asya folkloruna göre kötü amaçlı yazılımın “başlatma aşamasında kendi varlığını gizleyebildiğini” belirtti. söz konusu The Hacker News ile paylaşılan bir raporda.
Krasue’yu dağıtmak için kullanılan tam başlangıç erişim vektörü şu anda bilinmiyor, ancak bunun güvenlik açığından yararlanma, kimlik bilgisi kaba kuvvet saldırıları yoluyla veya sahte bir yazılım paketinin veya ikili programın parçası olarak indirilmiş olabileceğinden şüpheleniliyor. Kampanyanın ölçeği
Kodu Kırmak: Siber Saldırganların İnsan Psikolojisinden Nasıl Yararlandığını Öğrenin
Sosyal mühendisliğin neden bu kadar etkili olduğunu hiç merak ettiniz mi? Yaklaşan web seminerimizde siber saldırganların psikolojisinin derinliklerine dalın.
Kötü amaçlı yazılımın temel işlevleri, herhangi bir dikkat çekmeden ana bilgisayar üzerinde kalıcılığını sürdürmesine olanak tanıyan bir rootkit aracılığıyla gerçekleştirilir. Rootkit Diamorphine, Suterusu ve Rooty gibi açık kaynaklı projelerden türetilmiştir.
Bu durum, Krasue’nun ya bir botnet’in parçası olarak dağıtıldığı ya da ilk erişim aracıları tarafından belirli bir hedefe erişim elde etmek isteyen fidye yazılımı bağlı kuruluşları gibi diğer siber suçlulara satıldığı olasılığını artırdı.
Group-IB kötü amaçlı yazılım analisti Sharmine Low, “Rootkit, etkinliklerini gizlemek ve tespit edilmekten kaçınmak için ‘kill()’ sistem çağrısını, ağla ilgili işlevleri ve dosya listeleme işlemlerini bağlayabilir” dedi.
“Özellikle, Krasue şunu kullanıyor: RTSP (Gerçek Zamanlı Yayın Protokolü) mesajlarının gizlenmiş bir ‘canlı ping’ görevi görmesi, doğada nadiren görülen bir taktiktir.”
Truva atının komuta ve kontrol (C2) iletişimleri ayrıca, iletişim kuran bir IP’yi ana yukarı akış C2 sunucusu olarak belirlemesine, kötü amaçlı yazılım hakkında bilgi almasına ve hatta kendisini sonlandırmasına olanak tanır.
Krasue ayrıca XorDdos adlı başka bir Linux kötü amaçlı yazılımıyla da çeşitli kaynak kodu benzerlikleri paylaşıyor; bu da onun XorDdos ile aynı yazar tarafından veya kaynak koduna erişimi olan aktörler tarafından geliştirildiğini gösteriyor.
“Mevcut bilgiler, Krasue’nun yaratıcısı veya onu vahşi ortamda kullanan gruplar hakkında kesin bir atıf yapmak için yeterli değil, ancak bu kötü amaçlı programların uzun süre radar altında kalabilmesi gerçeği, Krasue’nin Low, sürekli dikkatin ve daha iyi güvenlik önlemlerinin gerekli olduğunu açıkça belirtti.