I ricercatori dell’Unità Threat Intelligence di GroupIB hanno scoperto un nuovo sofisticato RAT (Remote Access Trojan) Linux che hanno soprannominato Krasue. Il malware attivo dal 2021 prenderebbe di mira principalmente aziende di telecomunicazioni in Thailandia.
Krause, il RAT sofisticato
Krause che prende il nome da uno spirito notturno menzionato nel folklore del sud-est asiatico, consentirebbe ai criminali informatici di accedere e controllare da remoto i sistemi compromessi, utilizzando capacità rootkit per mantenere la persistenza e garantire un accesso furtivo. Sebbene i ricercatori stiano ancora studiando il vettore iniziale dell’infezione e l’intera portata dell’utilizzo del RAT, ritengono possibile come punto di accesso lo sfruttamento di vulnerabilità o attacchi brute force.
Server C2, usato protocollo comunicazione insolito
Una caratteristica notevole di Krause è che utilizza il Real Time Streaming Protocol (RTSP) per la comunicazione con il suo server C2. Questa è una tattica insolita e molto probabilmente viene utilizzata per eludere il rilevamento da parte del software di sicurezza.
I rootkit integrati
Il rootkit Krause utilizza diversi rootkit incorporati per garantire la compatibilità con diverse versioni del kernel Linux tratti da fonti disponibili pubblicamente (tre rootkit Linux Kernel Module open source). In particolare il rootkit può agganciare la chiamata di sistema kill(), funzioni relative alla rete e gestione file per mascherare efficacemente la sua presenza ed eludere il rilevamento.
La possibile matrice
I ricercatori ritengono che questo RAT sia stato creato dallo stesso attore che ha sviluppato il trojan Linux XorDdos o ha avuto qualcuno accesso al suo codice sorgente e che venga implementato come parte di una botnet o venduto da IAB (broker di accesso iniziale) ad altri criminali informatici.
Misure di mitigazione
Le organizzazioni devono essere consapevoli delle minacce come Krause e implementare misure di sicurezza adeguate come un rigoroso controllo degli accessi, patch regolari e soluzioni avanzate di rilevamento delle minacce. Dopo aver scoperto Krause, i ricercatori del Group-IB hanno prontamente informato i loro clienti e pubblicato un rapporto con le regole YARA condiviso con le autorità thailandesi, tra cui ThaiCERT e TTC-CERT. Questa pubblicazione sottolinea ancora una volta la minaccia sempre più incombente dei rischi informatici e la necessità di implementare forti misure di sicurezza informatica.