Se ha observado que un troyano de acceso remoto de Linux previamente desconocido llamado Krasue apunta a empresas de telecomunicaciones en Tailandia por parte de actores de amenazas para proporcionar acceso encubierto a las redes de las víctimas al menos desde 2021.
El nombre de un espíritu femenino nocturno Según el folclore del Sudeste Asiático, el malware es «capaz de ocultar su propia presencia durante la fase de inicialización», afirma Group-IB. dicho en un informe compartido con The Hacker News.
Actualmente se desconoce el vector de acceso inicial exacto utilizado para implementar Krasue, aunque se sospecha que podría ser mediante explotación de vulnerabilidades, ataques de fuerza bruta a credenciales o descargado como parte de un paquete de software o binario falso. La escala de la campaña es
Descifrando el código: aprenda cómo los ciberatacantes explotan la psicología humana
¿Alguna vez te has preguntado por qué la ingeniería social es tan eficaz? Profundice en la psicología de los ciberatacantes en nuestro próximo seminario web.
Las funcionalidades principales del malware se realizan a través de un rootkit que le permite mantener la persistencia en el host sin llamar la atención. El rootkit se deriva de proyectos de código abierto como Dimorphine, Suterusu y Rooty.
Esto ha planteado la posibilidad de que Krasue se implemente como parte de una botnet o sea vendido por intermediarios de acceso inicial a otros ciberdelincuentes, como afiliados de ransomware, que buscan obtener acceso a un objetivo específico.
«El rootkit puede enganchar la llamada al sistema `kill()`, funciones relacionadas con la red y operaciones de listado de archivos para ocultar sus actividades y evadir la detección», dijo Sharmine Low, analista de malware de Group-IB.
«En particular, Krasue usa RTSP (Protocolo de transmisión en tiempo real) para que sirvan como un ‘ping vivo’ disfrazado, una táctica rara vez vista en la naturaleza».
Las comunicaciones de comando y control (C2) del troyano le permiten además designar una IP de comunicación como su servidor maestro C2, obtener información sobre el malware e incluso autoterminarse.
Krasue también comparte varias similitudes en el código fuente con otro malware de Linux llamado XorDdos, lo que indica que ha sido desarrollado por el mismo autor que este último o por actores que tuvieron acceso a su código fuente.
«La información disponible no es suficiente para hacer una atribución concluyente sobre el creador de Krasue o los grupos que lo aprovechan, pero el hecho de que estos programas maliciosos puedan permanecer fuera del radar durante períodos prolongados hace que sea posible está claro que se necesita una vigilancia continua y mejores medidas de seguridad», afirmó Low.