ClickCease Malware Krasue RAT: Una nueva amenaza para los sistemas Linux

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Malware Krasue RAT: Una nueva amenaza para los sistemas Linux

por Rohan Timalsina

20 de diciembre de 2023 - Equipo de expertos TuxCare

En el campo de la ciberseguridad, ha surgido una potente amenaza encubierta llamada Krasue. Este troyano de acceso remoto ha estado infiltrándose silenciosamente en sistemas Linux, principalmente dirigidos a empresas de telecomunicaciones desde 2021. Esta entrada del blog explorará la RAT Krasue, sus orígenes, funcionalidades y los esfuerzos en curso para combatir su naturaleza escurridiza.

 

Detalles del ataque Krasue RAT

 

Funciona a través de un sofisticado rootkit compuesto por siete variantes, cada una de las cuales se basa en tres proyectos de código abierto diferentes. Esto permite al malware adaptarse a diferentes versiones del kernel de Linux, lo que dificulta su identificación y eliminación.

Los investigadores de seguridad de Group-IB afirman que el objetivo principal de la RAT Krasue es mantener el acceso al sistema anfitrión. Podría distribuirse a través de una red de bots o ser vendida por intermediarios de acceso inicial a actores de amenazas que quieran atacar sistemas específicos.

La estrategia de despliegue de Krasue aún se desconoce; entre los posibles enfoques se incluyen los ataques de fuerza bruta con credenciales, la explotación de vulnerabilidades o la distribución encubierta a través de fuentes poco fiables que simulan ser paquetes o binarios de confianza.

 

Sistema Linux Objetivo Telecomunicaciones

 

El objetivo de Krasue se centra principalmente en las empresas de telecomunicaciones, especialmente las de Tailandia. Se desconoce por qué se eligió este objetivo concreto, lo que suscita preocupación por las posibles consecuencias para las infraestructuras críticas.

Group-IB descubrió que el rootkit de Krasue es un módulo del kernel de Linux (LKM) que se hace pasar por un controlador de VMware sin firmar una vez ejecutado. Esto significa que se trata de un rootkit a nivel de kernel, lo que dificulta su detección y eliminación, ya que opera en el mismo nivel de seguridad que el sistema operativo. Este escurridizo malware afecta sobre todo a servidores Linux antiguos con escasa cobertura de Endpoint Detection and Response.

Entre las muchas características que ofrece Krasue RAT se incluyen la capacidad de ocultar puertos y procesos, conceder privilegios de root y ejecutar el comando kill para cualquier ID de proceso. Destaca su uso del protocolo Real Time Streaming Protocol (RTSP) para comunicarse con los servidores de comando y control, una opción que no suele asociarse a este tipo de malware.

 

Conclusión

 

Gracias al análisis de Group-IB, se han aclarado los detalles de este troyano de acceso remoto, proporcionando señales críticas de compromiso y reglas YARA. Los científicos han descubierto nueve direcciones IP C2 diferentes codificadas en Krasue, una de las cuales utiliza el puerto 554, frecuentemente conectado a conexiones RTSP. Esta extraña elección en la técnica de comunicación pone de relieve las cualidades especiales de Krasue RAT. Además, las similitudes con XorDdos, otro malware de Linux, apuntan a un posible autor/operador o fragmento de código compartido.

 

Las fuentes de este artículo incluyen un artículo de BleepingComputer.

Resumen
Malware Krasue RAT: Una nueva amenaza para los sistemas Linux
Nombre del artículo
Malware Krasue RAT: Una nueva amenaza para los sistemas Linux
Descripción
Conozca las sigilosas tácticas de Krasue RAT (troyano de acceso remoto) dirigidas a sistemas Linux en telecomunicaciones desde 2021.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.