ClickCease Le logiciel malveillant Krasue RAT : Une nouvelle menace pour les systèmes Linux

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Le logiciel malveillant Krasue RAT : Une nouvelle menace pour les systèmes Linux

Rohan Timalsina

Le 20 décembre 2023 - L'équipe d'experts de TuxCare

Dans le domaine de la cybersécurité, une menace puissante et secrète appelée Krasue a fait surface. Ce cheval de Troie d'accès à distance s'infiltre silencieusement dans les systèmes Linux, ciblant principalement les entreprises de télécommunications depuis 2021. Cet article de blog explore le RAT Krasue, ses origines, ses fonctionnalités et les efforts en cours pour lutter contre sa nature insaisissable.

 

Détails de l'attaque du RAT Krasue

 

Il fonctionne à l'aide d'un rootkit sophistiqué comprenant sept variantes, chacune tirant ses fondements de trois projets open-source différents. Cela permet au logiciel malveillant de s'adapter aux différentes versions du noyau Linux, ce qui complique son identification et sa suppression.

Les chercheurs en sécurité du Group-IB ont déclaré que l'objectif principal du RAT Krasue est de maintenir l'accès au système hôte. Il peut être distribué par l'intermédiaire d'un réseau de zombies ou vendu par des courtiers d'accès initiaux à des acteurs de la menace qui souhaitent cibler des systèmes spécifiques.

La stratégie de déploiement de Krasue n'est pas encore connue ; les approches possibles comprennent les attaques par force brute des identifiants, l'exploitation des vulnérabilités ou la distribution déguisée par des sources non fiables qui prétendent être des paquets ou des binaires dignes de confiance.

 

Système Linux Télécommunications ciblées

 

La cible de Krasue se concentre principalement sur les entreprises de télécommunications, notamment en Thaïlande. On ne sait pas pourquoi cette cible particulière a été choisie, ce qui soulève des inquiétudes quant aux conséquences possibles pour les infrastructures critiques.

Le Group-IB a découvert que le rootkit de Krasue est un module du noyau Linux (LKM) qui, une fois exécuté, se présente comme un pilote VMware non signé. Il s'agit donc d'un rootkit au niveau du noyau, ce qui complique la détection et la suppression car il opère au même niveau de sécurité que le système d'exploitation. Ce malware sournois affecte principalement les anciens serveurs Linux dont la couverture en matière de détection et de réponse aux points finaux est médiocre.

Parmi les nombreuses fonctionnalités offertes par Krasue RAT, citons la possibilité de masquer des ports et des processus, d'accorder des privilèges de super-utilisateur et d'exécuter la commande kill pour n'importe quel identifiant de processus. Son utilisation du Real Time Streaming Protocol (RTSP) pour la communication avec les serveurs de commande et de contrôle est remarquable ; ce n'est pas un choix qui est souvent associé aux logiciels malveillants de ce type.

 

Conclusion

 

L'analyse du Group-IB a permis de clarifier les détails de ce cheval de Troie d'accès à distance, en fournissant des signes critiques de compromission et des règles YARA. Les scientifiques ont découvert neuf adresses IP C2 différentes codées en dur dans Krasue, dont l'une utilise le port 554, qui est souvent relié à des connexions RTSP. Ce choix étrange de technique de communication met en évidence les qualités particulières du RAT Krasue. En outre, les similitudes avec XorDdos, un autre logiciel malveillant pour Linux, indiquent que l'auteur/l'opérateur ou le morceau de code pourrait être commun.

 

Les sources de cet article comprennent un article de BleepingComputer.

Résumé
Le logiciel malveillant Krasue RAT : Une nouvelle menace pour les systèmes Linux
Nom de l'article
Le logiciel malveillant Krasue RAT : Une nouvelle menace pour les systèmes Linux
Description
Découvrez les tactiques furtives du RAT (cheval de Troie d'accès à distance) Krasue qui cible les systèmes Linux dans les télécommunications depuis 2021.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information