Yeni Nesil Teknolojiler ve Güvenli Geliştirme, Tehdit İstihbaratı
RAT, Linux Çekirdek Sürümlerindeki Güvenlik Açıklarından Yararlanacak Şekilde Tasarlanmıştır
Prajeet Nair (@prajeetspeaks) •
8 Aralık 2023
Araştırmacılar, bilgisayar korsanlarının Tayland’daki telekomünikasyon şirketlerini, açık kaynak çekirdeğin farklı sürümlerine saldırmak üzere tasarlanmış bir Linux uzaktan erişim Truva Atı ile hedef aldığını söylüyor.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Group-IB’deki siber güvenlik araştırmacıları, Güneydoğu Asya folklorundaki gece ruhundan esinlenerek Truva Atı’na “Krasue” adını verdiler.
Group-IB araştırmacıları Krasue’nin “kritik sistemler ve hassas veriler için ciddi bir risk” oluşturduğunu yazdı ve VirusTotal’a yapılan bir yüklemeye dayanarak kötü amaçlı yazılımın 2021 yılına ait olduğunu belirtti. Group-IB araştırmacıları, RAT’ın ilk erişim vektörünü veya bilgisayar korsanları tarafından dağıtımının ölçeğini bilmiyor.
Saldırganlar, kurban ana bilgisayarlara erişimi güvence altına aldıktan sonra, saldırı zincirinin sonraki aşamalarında Krasue’yi konuşlandırır. Temel işlevselliği, bilgisayar korsanlarının virüs bulaşmış makinelere erişimi bir botnet’in parçası olarak veya bir ilk erişim aracısının ürünleri olarak sattığını düşündüren kalıcılığıdır.
RAT, sağlam uç nokta algılama ve yanıt kapsamına sahip olmayan eski Linux sunucularının ve ağlarının güvenlik açıklarından yararlanır. Kötü amaçlı yazılımın yedi derlenmiş sürümü içeren kök kiti, üç açık kaynaklı yüklenebilir çekirdek modülü kök kitinin özelliklerini sergiliyor: Diamorphine, Suterusu ve Rooty. Bu birleşme, Krasue’nun çeşitli Linux çekirdek sürümlerini desteklemesine olanak tanır. Rootkit, VMware sürücüsü gibi görünüyor ancak geçerli bir dijital imzaya sahip değil.
RAT, Linux çekirdeğinin farklı sürümlerinden yararlanmak için tasarlanmış gömülü rootkit’leri kullanır. Üç açık kaynaklı Linux Çekirdek Modülü kök setinden yararlanan Krasue, faaliyetlerini gizler ve tespit edilmekten kaçınır. Aşağıdakiler de dahil olmak üzere kritik sistem işlevlerine bağlanır: kill() İşlemleri, ağla ilgili işlevleri ve dosya listeleme işlemlerini sonlandırmak için kullanılan komut.
Aynı zamanda, Group-IB’nin “vahşi ortamda nadiren görüldüğünü” söylediği bir taktik olan “canlı pingler” olarak gizlenen gerçek zamanlı akış protokolü mesajlarını da kullanıyor.
Kötü amaçlı yazılım, kendisini gizleme amacıyla sarmak için açık kaynaklı bir paketleme aracı kullanıyor ve aynı zamanda kendisini daemonize ederek (yani bir arka plan işlemi olarak çalışarak) kaçınma yeteneklerini de geliştiriyor. Kullanıcıların ctrl + c tuşlarına basarak gönderebileceği SIGINT olarak bilinen işlem kesintisi sinyallerini yok sayar.
Araştırmacılar ayrıca 2022’de Microsoft tarafından belgelenen XorDdos Linux Truva Atı’na yönelik bir bağlantı da gözlemledi.
Araştırmacılar, XorDdos’un yazarlarının veya XorDdos’un yazarları tarafından kullanılan aynı kaynak koduna erişimi olan birinin Krasue’yu muhtemelen yarattığını söyledi.