ClickCease Krasue RAT-Malware: Eine neue Bedrohung für Linux-Systeme

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Krasue RAT-Malware: Eine neue Bedrohung für Linux-Systeme

Rohan Timalsina

Dezember 20, 2023 - TuxCare Expertenteam

Im Bereich der Cybersicherheit ist eine mächtige und verdeckte Bedrohung namens Krasue aufgetaucht. Dieser Remote-Access-Trojaner infiltriert seit 2021 unbemerkt Linux-Systeme, die hauptsächlich auf Telekommunikationsunternehmen abzielen. Dieser Blog-Beitrag befasst sich mit dem Krasue RAT, seinen Ursprüngen, Funktionen und den laufenden Bemühungen zur Bekämpfung seiner schwer fassbaren Natur.

 

Details zum Krasue RAT-Angriff

 

Er arbeitet mit einem ausgeklügelten Rootkit, das sieben Varianten umfasst, die jeweils auf drei verschiedenen Open-Source-Projekten basieren. Dadurch kann sich die Malware an verschiedene Linux-Kernel-Versionen anpassen, was die Identifizierung und Entfernung erschwert.

Die Sicherheitsforscher von Group-IB erklärten, dass das Hauptziel von Krasue RAT darin besteht, den Zugang zum Wirtssystem zu erhalten. Es könnte über ein Botnetz verbreitet oder von anfänglichen Zugangsvermittlern an Bedrohungsakteure verkauft werden, die bestimmte Systeme ins Visier nehmen wollen.

Die Verbreitungsstrategie von Krasue ist noch nicht bekannt. Mögliche Ansätze sind Brute-Force-Angriffe mit Anmeldedaten, das Ausnutzen von Schwachstellen oder die verschleierte Verbreitung über unzuverlässige Quellen, die vorgeben, vertrauenswürdige Pakete oder Binärdateien zu sein.

 

Linux System Telekommunikation Gezielt

 

Krasue hat es vor allem auf Telekommunikationsunternehmen abgesehen, insbesondere auf solche in Thailand. Es ist nicht bekannt, warum gerade dieses Ziel ausgewählt wurde, was Anlass zur Sorge über mögliche Folgen für kritische Infrastrukturen gibt.

Group-IB entdeckte, dass das Rootkit von Krasue ein Linux-Kernel-Modul (LKM) ist, das sich nach der Ausführung als unsignierter VMware-Treiber ausgibt. Das bedeutet, dass es sich um ein Rootkit auf Kernel-Ebene handelt, was die Erkennung und Entfernung erschwert, da es auf der gleichen Sicherheitsebene wie das Betriebssystem arbeitet. Diese heimtückische Malware befällt meist ältere Linux-Server mit unzureichender Endpoint Detection and Response-Abdeckung.

Zu den vielen Funktionen, die Krasue RAT bietet, gehört die Fähigkeit, Ports und Prozesse zu verstecken, Root-Rechte zu gewähren und den Kill-Befehl für jede Prozess-ID auszuführen. Bemerkenswert ist die Verwendung des Real Time Streaming Protocol (RTSP) für die Kommunikation mit Befehls- und Kontrollservern, was bei dieser Art von Malware nicht üblich ist.

 

Schlussfolgerung

 

Dank der Analyse von Group-IB konnten die Details dieses Remote-Access-Trojaners geklärt werden, was wichtige Anzeichen für eine Kompromittierung und YARA-Regeln liefert. Die Wissenschaftler haben neun verschiedene C2-IP-Adressen entdeckt, die in Krasue fest einkodiert sind. Eine davon verwendet Port 554, der häufig mit RTSP-Verbindungen verbunden ist. Diese merkwürdige Wahl der Kommunikationstechnik unterstreicht die besonderen Qualitäten von Krasue RAT. Darüber hinaus deuten Ähnlichkeiten mit XorDdos, einer anderen Linux-Malware, auf einen möglichen gemeinsamen Autor/Betreiber oder Code hin.

 

Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.

Zusammenfassung
Krasue RAT-Malware: Eine neue Bedrohung für Linux-Systeme
Artikel Name
Krasue RAT-Malware: Eine neue Bedrohung für Linux-Systeme
Beschreibung
Erfahren Sie mehr über die heimliche Taktik des Krasue RAT (Remote Access Trojaner), der seit 2021 auf Linux-Systeme in der Telekommunikation abzielt.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter