ClickCease 크라수에 RAT 악성코드: 리눅스 시스템에 대한 새로운 위협

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

크라수에 RAT 악성코드: 리눅스 시스템에 대한 새로운 위협

로한 티말시나

2023년 12월 20일 TuxCare 전문가 팀

사이버 보안 분야에서 Krasue라는 강력하고 은밀한 위협이 등장했습니다. 이 원격 액세스 트로이 목마는 2021년부터 주로 통신 회사를 표적으로 삼아 Linux 시스템에 조용히 침투해 왔습니다. 이 블로그 게시물에서는 Krasue RAT의 기원과 기능, 그리고 이 어려운 위협에 대처하기 위한 지속적인 노력에 대해 살펴봅니다.

 

크라수에 쥐의 공격 세부 정보

 

이 멀웨어는 7개의 변종으로 구성된 정교한 루트킷을 통해 작동하며, 각 변종은 3개의 서로 다른 오픈 소스 프로젝트에서 그 기반을 가져옵니다. 따라서 멀웨어가 다양한 Linux 커널 버전에 적응할 수 있으므로 식별 및 제거가 어렵습니다.

Group-IB의 보안 연구원들은 Krasue RAT의 주요 목표는 호스트 시스템에 대한 액세스 권한을 유지하는 것이라고 말했습니다. 봇넷을 통해 배포되거나 초기 액세스 브로커가 특정 시스템을 표적으로 삼으려는 위협 행위자에게 판매할 수 있습니다.

크라수에의 배포 전략은 아직 알려지지 않았으며, 크리덴셜 무차별 암호 대입 공격, 취약점 악용, 신뢰할 수 없는 소스를 통해 신뢰할 수 있는 패키지나 바이너리로 위장하여 배포하는 방법 등이 있을 수 있습니다.

 

Linux 시스템 통신 대상

 

크라수에의 표적은 주로 통신사, 특히 태국의 통신사에 집중되어 있습니다. 이 특정 표적이 왜 선택되었는지는 알려지지 않았으며, 주요 인프라에 미칠 수 있는 영향에 대한 우려가 제기되고 있습니다.

Group-IB는 크라수에의 루트킷이 일단 실행되면 서명되지 않은 VMware 드라이버로 위장하는 Linux 커널 모듈(LKM)임을 발견했습니다. 즉, 커널 수준의 루트킷으로 운영 체제와 동일한 보안 수준 내에서 작동하기 때문에 탐지 및 제거가 어렵습니다. 이 교묘한 멀웨어는 주로 엔드포인트 탐지 및 대응 범위가 낮은 구형 Linux 서버에 영향을 미칩니다.

Krasue RAT가 제공하는 많은 기능 중에는 포트와 프로세스를 숨기고, 루트 권한을 부여하고, 모든 프로세스 ID에 대해 킬 명령을 수행하는 기능이 포함됩니다. 명령 및 제어 서버와의 통신을 위해 실시간 스트리밍 프로토콜(RTSP)을 사용하는 것은 주목할 만한데, 이는 이런 종류의 멀웨어에서 흔히 볼 수 있는 선택이 아닙니다.

 

결론

 

Group-IB의 분석을 통해 이 원격 액세스 트로이 목마의 세부 사항이 명확해졌으며, 중요한 침해 징후와 YARA 규칙이 밝혀졌습니다. 과학자들은 크라수에에 하드코딩된 9개의 서로 다른 C2 IP 주소를 발견했으며, 그 중 하나는 RTSP 연결에 자주 연결되는 554 포트를 사용합니다. 이러한 특이한 통신 기술 선택은 크라수에 RAT의 특별한 특성을 강조합니다. 또한, 또 다른 리눅스 멀웨어인 XorDdos와의 유사성으로 인해 작성자/운영자 또는 코드가 공유되었을 가능성이 있습니다.

 

이 글의 출처는 BleepingComputer의 기사입니다.

요약
크라수에 RAT 악성코드: 리눅스 시스템에 대한 새로운 위협
기사 이름
크라수에 RAT 악성코드: 리눅스 시스템에 대한 새로운 위협
설명
2021년부터 통신 분야의 Linux 시스템을 노리는 Krasue RAT(원격 액세스 트로이목마)의 은밀한 전술에 대해 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기