Malware Krasue RAT: Una nueva amenaza para los sistemas Linux
En el campo de la ciberseguridad, ha surgido una potente amenaza encubierta llamada Krasue. Este troyano de acceso remoto ha estado infiltrándose silenciosamente en sistemas Linux, principalmente dirigidos a empresas de telecomunicaciones desde 2021. Esta entrada del blog explorará la RAT Krasue, sus orígenes, funcionalidades y los esfuerzos en curso para combatir su naturaleza escurridiza.
Detalles del ataque Krasue RAT
Funciona a través de un sofisticado rootkit compuesto por siete variantes, cada una de las cuales se basa en tres proyectos de código abierto diferentes. Esto permite al malware adaptarse a diferentes versiones del kernel de Linux, lo que dificulta su identificación y eliminación.
Los investigadores de seguridad de Group-IB afirman que el objetivo principal de la RAT Krasue es mantener el acceso al sistema anfitrión. Podría distribuirse a través de una red de bots o ser vendida por intermediarios de acceso inicial a actores de amenazas que quieran atacar sistemas específicos.
La estrategia de despliegue de Krasue aún se desconoce; entre los posibles enfoques se incluyen los ataques de fuerza bruta con credenciales, la explotación de vulnerabilidades o la distribución encubierta a través de fuentes poco fiables que simulan ser paquetes o binarios de confianza.
Sistema Linux Objetivo Telecomunicaciones
El objetivo de Krasue se centra principalmente en las empresas de telecomunicaciones, especialmente las de Tailandia. Se desconoce por qué se eligió este objetivo concreto, lo que suscita preocupación por las posibles consecuencias para las infraestructuras críticas.
Group-IB descubrió que el rootkit de Krasue es un módulo del kernel de Linux (LKM) que se hace pasar por un controlador de VMware sin firmar una vez ejecutado. Esto significa que se trata de un rootkit a nivel de kernel, lo que dificulta su detección y eliminación, ya que opera en el mismo nivel de seguridad que el sistema operativo. Este escurridizo malware afecta sobre todo a servidores Linux antiguos con escasa cobertura de Endpoint Detection and Response.
Entre las muchas características que ofrece Krasue RAT se incluyen la capacidad de ocultar puertos y procesos, conceder privilegios de root y ejecutar el comando kill para cualquier ID de proceso. Destaca su uso del protocolo Real Time Streaming Protocol (RTSP) para comunicarse con los servidores de comando y control, una opción que no suele asociarse a este tipo de malware.
Conclusión
Gracias al análisis de Group-IB, se han aclarado los detalles de este troyano de acceso remoto, proporcionando señales críticas de compromiso y reglas YARA. Los científicos han descubierto nueve direcciones IP C2 diferentes codificadas en Krasue, una de las cuales utiliza el puerto 554, frecuentemente conectado a conexiones RTSP. Esta extraña elección en la técnica de comunicación pone de relieve las cualidades especiales de Krasue RAT. Además, las similitudes con XorDdos, otro malware de Linux, apuntan a un posible autor/operador o fragmento de código compartido.
Las fuentes de este artículo incluyen un artículo de BleepingComputer.