Un cheval de Troie d’accès à distance Linux jusqu’alors inconnu appelé Krasue a été observé ciblant des entreprises de télécommunications en Thaïlande par des acteurs malveillants pour obtenir un accès secret principal aux réseaux des victimes depuis 2021.
Nommé d’après un esprit féminin nocturne du folklore d’Asie du Sud-Est, le malware est « capable de dissimuler sa propre présence pendant la phase d’initialisation », Group-IB dit dans un rapport partagé avec The Hacker News.
Le vecteur d’accès initial exact utilisé pour déployer Krasue n’est actuellement pas connu, bien que l’on soupçonne qu’il pourrait s’agir d’une exploitation de vulnérabilités, d’attaques par force brute d’identifiants ou d’un téléchargement dans le cadre d’un faux progiciel ou binaire. L’ampleur de la campagne est
Déchiffrer le code : découvrez comment les cyberattaquants exploitent la psychologie humaine
Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez en profondeur dans la psychologie des cyberattaquants dans notre prochain webinaire.
Les fonctionnalités principales du malware sont réalisées via un rootkit qui lui permet de maintenir la persistance sur l’hôte sans attirer aucune attention. Le rootkit est dérivé de projets open source tels que Diamorphine, Suterusu et Rooty.
Cela a soulevé la possibilité que Krasue soit déployé dans le cadre d’un botnet ou vendu par des courtiers d’accès initial à d’autres cybercriminels, tels que des affiliés de ransomwares, qui cherchent à accéder à une cible spécifique.
« Le rootkit peut intercepter l’appel système `kill()`, les fonctions liées au réseau et les opérations de liste de fichiers afin de masquer ses activités et d’échapper à la détection », a déclaré Sharmine Low, analyste des logiciels malveillants chez Group-IB.
» Krasue utilise notamment RTSP (Real Time Streaming Protocol) pour servir de « ping vivant » déguisé, une tactique rarement vue dans la nature. »
Les communications de commande et de contrôle (C2) du cheval de Troie lui permettent en outre de désigner une adresse IP communicante comme serveur C2 maître en amont, d’obtenir des informations sur le logiciel malveillant et même de se terminer.
Krasue partage également plusieurs similitudes de code source avec un autre malware Linux nommé XorDdos, indiquant qu’il a été développé par le même auteur que ce dernier, ou par des acteurs ayant eu accès à son code source.
« Les informations disponibles ne suffisent pas pour avancer une attribution concluante quant au créateur de Krasue, ou aux groupes qui l’exploitent de manière sauvage, mais le fait que ces programmes malveillants sont capables de rester sous le radar pendant de longues périodes le rend Il est clair qu’une vigilance continue et de meilleures mesures de sécurité sont nécessaires », a déclaré Low.