Ερευνητές ασφαλείας ανακάλυψαν ένα RAT απομακρυσμένης πρόσβασης που ονομάζεται Krasue και στοχεύει Linux συστήματα εταιρειών τηλεπικοινωνιών, καταφέρνοντας να παραμείνει κρυφό από το 2021.
Δείτε επίσης: NetSupport RAT: Επιθέσεις σε κυβερνητικούς και εκπαιδευτικούς οργανισμούς
Ανακάλυψαν ότι το Krasue RAT περιλαμβάνει επτά παραλλαγές ενός rootkit που υποστηρίζει πολλές εκδόσεις του πυρήνα Linux και βασίζεται σε κώδικα τριών ανοιχτού κώδικα έργων.
Σύμφωνα με έρευνα από την εταιρεία κυβερνοασφάλειας Group-IB, η κύρια λειτουργία του κακόβουλου λογισμικού είναι να διατηρεί πρόσβαση στον υπολογιστή, πράγμα που μπορεί να υποδηλώνει ότι μπορεί να είναι διακομιστής που ελέγχεται από botnet ή να πωλείται από μεσάζοντες αρχικής πρόσβασης σε κακόβουλους δράστες που αναζητούν πρόσβαση σε συγκεκριμένο στόχο.
Οι ερευνητές πιστεύουν ότι το Krasue remote access trojan (RAT) μπορεί να εγκατασταθεί κατά το αργότερο στάδιο της επίθεσης, ειδικά για να διατηρήσει την πρόσβαση στον υπολογιστή του θύματος.
Δεν είναι σαφές πώς διανέμεται το malware, αλλά μπορεί να παραδοθεί μετά από εκμετάλλευση μιας ευπάθειας, ακολουθώντας μια επίθεση brute force ή ακόμη και να ληφθεί από μια μη αξιόπιστη πηγή ως πακέτο ή δυαδικό αρχείο που προσποιείται ότι είναι ένα νόμιμο προϊόν.
Ο στόχος τoy Krasue φαίνεται να περιορίζεται σε εταιρείες τηλεπικοινωνιών στην Ταϊλάνδη. Μία ανάλυση από την Group-IB αποκάλυψε ότι το rootkit μέσα στο δυαδικό αρχείο του Krasue RAT είναι ένα Linux Kernel Module (LKM) που παριστάνει έναν μη υπογεγραμμένο πρόγονο της VMware μετά την εκτέλεσή του.
Τα rootkits επιπέδου πυρήνα είναι δύσκολο να ανιχνευθούν και να αφαιρεθούν, καθώς λειτουργούν στο ίδιο επίπεδο ασφαλείας με το λειτουργικό σύστημα. Το rootkit υποστηρίζει εκδόσεις πυρήνα του Linux 2.6x/3.10.x, οι οποίες του επιτρέπουν να παραμένει αόρατος, καθώς παλαιότεροι διακομιστές Linux συνήθως έχουν ανεπαρκή κάλυψη ανίχνευσης και απόκρισης άκρου, σύμφωνα με τους ερευνητές.
Δείτε ακόμα: SeroXen RAT: Μολύνει τους προγραμματιστές του NuGet
Η Group-IB ανακάλυψε ότι και οι επτά ενσωματωμένες εκδόσεις του rootkit διαθέτουν τις ίδιες δυνατότητες για παρέμβαση σε συστήματα κλήσεων και συναρτήσεων και χρησιμοποιούν το ίδιο ψεύτικο όνομα “VMware User Mode Helper“.
Μελετώντας τον κώδικα, οι ερευνητές κατέληξαν στο συμπέρασμα ότι το rootkit βασίζεται σε τρία open-source rootkits LKM, ειδικότερα το Diamorphine, το Suterusu και το Rooty, τα οποία είναι διαθέσιμα τουλάχιστον από το 2017.
Το rootkit Krasue μπορεί να κρύψει ή να αποκαλύψει θύρες, να κάνει διεργασίες αόρατες, να παρέχει δικαιώματα root και να εκτελέσει την εντολή kill για οποιαδήποτε ID διεργασίας. Μπορεί επίσης να καλύψει τα ίχνη του κρύβοντας αρχεία και καταλόγους που σχετίζονται με κακόβουλο λογισμικό.
Αυτήν τη στιγμή, ο κακόβουλος παράγοντας πίσω από τον Krause εξακολουθεί να είναι ένα μυστήριο, αλλά η εταιρεία κυβερνοασφάλειας έχει μοιραστεί ενδείξεις παραβίασης και κανόνες YARA για να βοηθήσει τους υπερασπιστές να ανιχνεύσουν αυτήν την απειλή και ίσως να ενθαρρύνει άλλους ερευνητές να δημοσιεύσουν όσα γνωρίζουν για το malware.
Μέτρα προστασίας από το RAT
Ένα από τα συνιστώμενα μέτρα προστασίας έναντι του Krasue RAT είναι να διασφαλίσετε ότι το λειτουργικό σας σύστημα και όλο το λογισμικό είναι ενημερωμένα. Αυτό περιλαμβάνει την τακτική εγκατάσταση ενημερώσεων κώδικα ασφαλείας, καθώς συχνά περιέχουν διορθώσεις για ευπάθειες που θα μπορούσαν να εκμεταλλευτούν RAT όπως το Krasue.
Δείτε επίσης: Κινέζοι hackers στοχεύουν το Ουζμπεκιστάν και τη Νότια Κορέα με το SugarGh0st RAT
Ένα άλλο σημαντικό μέτρο είναι να έχετε εγκατεστημένο στο σύστημά σας ένα αξιόπιστο και ενημερωμένο λογισμικό προστασίας από ιούς ή κακόβουλο λογισμικό. Αυτό μπορεί να βοηθήσει στον εντοπισμό και την κατάργηση τυχόν κακόβουλων αρχείων που σχετίζονται με το Krasue RAT, καθώς και να παρέχει προστασία σε πραγματικό χρόνο από μελλοντικές απειλές.
Είναι σημαντικό να είστε προσεκτικοί κατά τη λήψη αρχείων ή το άνοιγμα συνημμένων email, καθώς αυτές είναι κοινές μέθοδοι παράδοσης των RAT. Επαληθεύετε πάντα την πηγή του αρχείου ή του email και να είστε προσεκτικοί με ύποπτα ή απροσδόκητα μηνύματα. Επιπλέον, αποφύγετε να κάνετε κλικ σε ύποπτους συνδέσμους ή να επισκέπτεστε μη αξιόπιστους ιστότοπους, καθώς μπορεί να οδηγήσουν στη λήψη του Krasue RAT ή άλλου κακόβουλου λογισμικού.
Η εφαρμογή ισχυρών και μοναδικών κωδικών πρόσβασης για όλους τους λογαριασμούς σας είναι ένα άλλο σημαντικό μέτρο προστασίας. Το Krasue RAT, όπως και πολλά άλλα RAT, μπορεί να επιχειρήσει να κλέψει τα διαπιστευτήρια σύνδεσης και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στους λογαριασμούς σας. Η χρήση πολύπλοκων κωδικών πρόσβασης που συνδυάζουν κεφαλαία και πεζά γράμματα, αριθμούς και ειδικούς χαρακτήρες μπορεί να δυσκολέψει τα RAT να τους σπάσουν.
Πηγή: bleepingcomputer
