Güvenlik araştırmacıları, telekomünikasyon şirketlerinin Linux sistemlerini hedefleyen ve 2021'den beri tespit edilmemeyi başaran Krasue adını verdikleri bir uzaktan erişim Trojan'ı keşfettiler.
Krasue'nin ikili, birden fazla Linux çekirdeği sürümünü destekleyen ve üç açık kaynaklı projenin koduna dayanan bir rootkitin yedi varyantını içerdiğini buldular.
Siber Güvenlik Şirketi Grup-IB'deki araştırmacılara göre, kötü amaçlı yazılımların ana işlevi, bir botnet aracılığıyla konuşlandırıldığını veya belirli bir hedefe erişim arayan aktörleri tehdit etmek için başlangıç erişim brokerleri tarafından satıldığını önerebilir.
Araştırmacılar, Krasue uzaktan erişim Truva atının (sıçan), saldırının sonraki bir aşamasında özellikle kurban ev sahibine erişimi sağlamak için konuşlandırılabileceğine inanıyorlar.
Kötü amaçlı yazılımın nasıl dağıtıldığı belirsizdir, ancak bir güvenlik açığından yararlandıktan sonra, kimlik bilgisi kaba kuvvet saldırısının ardından veya hatta güvenilmeyen bir kaynaktan bir paket veya meşru bir ürünü taklit eden ikili olarak indirildikten sonra teslim edilebilir.
Krasue'nin hedeflemesi Tayland'daki telekomünikasyon şirketleri ile sınırlı görünüyor.
Grup-Ib'den alınan analiz, Krasue Rat'ın ikili içindeki rootkit'in, yürütüldükten sonra imzasız bir VMware sürücüsü olarak maskelenen bir Linux çekirdek modülü (LKM) olduğunu ortaya koydu.
Çekirdek seviyesi rootkitlerin tespit edilmesi ve çıkarılması zordur, çünkü işletim sistemi ile aynı güvenlik düzeyinde çalışırlar.
Kökkit, Linux çekirdek sürümlerinin 2.6x/3.10.x olduğunu destekliyor, bu da eski Linux sunucularının tipik olarak zayıf uç nokta tespiti ve yanıt kapsamına sahip olduğu için radar altında kalmasına izin veriyor.
Grup-Ib, yedi gömülü rootkit sürümlerinin hepsinin aynı sistem çağrısı ve işlev çağrı özelliklerini içerdiğini ve aynı sahte “VMware kullanıcı modu yardımcısı” adını kullandığını buldu.
Kod'a bakıldığında, araştırmacılar rootit'in en az 2017'den beri mevcut olan üç açık kaynaklı LKM rootkitlere, özellikle diamorfin, Suterusu ve Rooty'ye dayandığını belirlediler.
Krasue rootkit, bağlantı noktalarını gizleyebilir veya şekillendirebilir, işlemleri görünmez hale getirebilir, kök ayrıcalığı sağlayabilir ve herhangi bir işlem kimliği için öldürme komutunu çalıştırabilir. Ayrıca, kötü amaçlı yazılımlarla ilgili dosyaları ve dizinleri gizleyerek izlerini de kapsayabilir.
Komut ve Kontrol (C2) sunucusuyla iletişim kurarken, Krasue aşağıdaki komutları kabul edebilir:
Grup-Ib, kötü amaçlı yazılımlara sabitlenmiş dokuz farklı C2 IP adresi keşfetti, biri RTSP (gerçek zamanlı akış protokolü) bağlantılarında yaygın olan 554 bağlantı noktasını kullandı.
C2 kötü amaçlı yazılım iletişimi için RTPS uygulama düzeyinde ağ protokolünü kullanmak çok yaygın değildir ve Krasue durumunda bir özellik olarak görülebilir.
RTSP, medya sunucularını yayınlamak için tasarlanmış, video ve ses akışları, medya gezinmesi, konferans akışlarını yönetme ve daha fazlası için medya çalma oturumlarının kurulmasına ve kontrol edilmesine yardımcı olmak için tasarlanmış bir ağ kontrol protokolüdür.
Krasue kötü amaçlı yazılımların kökeni bilinmemekle birlikte, araştırmacılar rootkit bölümünde, bazı Xorddos adlı başka bir Linux kötü amaçlı yazılımın rootkitiyle örtüştüğünü buldular.
Group-Ib, bunun iki kötü amaçlı yazılım ailesinin ortak bir yazar/operatöre sahip olduğuna dair bir gösterge olduğuna inanmaktadır. Krasue geliştiricisinin de Xorddos koduna erişimi olması da mümkündür.
Şu anda, Krause'un arkasındaki tehdit oyuncusu hala bir gizemdir, ancak siber güvenlik şirketi, savunucuların bu tehdidi algılamalarına yardımcı olmak ve belki de diğer araştırmacıları kötü amaçlı yazılım hakkında bildiklerini yayınlamaya teşvik etmek için uzlaşma ve Yara kurallarının göstergelerini paylaşmıştır.
Yeni Bibi-Linux Silecek Kötü Yazılım Hedefleri İsrail Orgs'u Yıkıcı Saldırılar
Yeni 5Ghoul Saldırı, Qualcomm, MediaTek Cips ile 5G telefonu etkiler
Meta, Messenger, Facebook'ta varsayılan uçtan uca şifrelemeyi sunar
Kali Linux 2023.4 Gnome 45 ve 15 yeni araçlarla piyasaya sürüldü
Google Play'de Spyloan Android Kötü Yazılım 12 milyon kez indirildi
Kaynak: Bleeping Computer