Daha önce bilinmeyen Krasue adlı bir Linux uzaktan erişim truva atının, 2021 yılından bu yana kiralanan kurban ağlarına gizli erişim sağlamak amacıyla tehdit aktörleri tarafından Tayland’daki telekom şirketlerini hedef aldığı gözlemlendi.
Group-IB, The Hacker News ile paylaştığı bir raporda, adını Güneydoğu Asya folklorundaki gececi kadın ruhundan alan kötü amaçlı yazılımın “başlatma aşamasında kendi varlığını gizleyebildiğini” söyledi.
Krasue’yu dağıtmak için kullanılan tam başlangıç erişim vektörü şu anda bilinmiyor, ancak bunun güvenlik açığından yararlanma, kimlik bilgisi kaba kuvvet saldırıları yoluyla veya sahte bir yazılım paketinin veya ikili programın parçası olarak indirilmiş olabileceğinden şüpheleniliyor. Kampanyanın ölçeği
Kodu Kırmak: Siber Saldırganların İnsan Psikolojisinden Nasıl Yararlandığını Öğrenin
Sosyal mühendisliğin neden bu kadar etkili olduğunu hiç merak ettiniz mi? Yaklaşan web seminerimizde siber saldırganların psikolojisinin derinliklerine dalın.
Şimdi Katıl
Kötü amaçlı yazılımın temel işlevleri, herhangi bir dikkat çekmeden ana bilgisayar üzerinde kalıcılığını sürdürmesine olanak tanıyan bir rootkit aracılığıyla gerçekleştirilir. Rootkit Diamorphine, Suterusu ve Rooty gibi açık kaynaklı projelerden türetilmiştir.
Bu durum, Krasue’nun ya bir botnet’in parçası olarak dağıtıldığı ya da ilk erişim aracıları tarafından belirli bir hedefe erişim elde etmek isteyen fidye yazılımı bağlı kuruluşları gibi diğer siber suçlulara satıldığı olasılığını artırdı.
Group-IB kötü amaçlı yazılım analisti Sharmine Low, “Rootkit, etkinliklerini gizlemek ve tespit edilmekten kaçınmak için ‘kill()’ sistem çağrısını, ağla ilgili işlevleri ve dosya listeleme işlemlerini bağlayabilir” dedi.
“Özellikle Krasue, doğada nadiren görülen bir taktik olan, gizlenmiş bir ‘canlı ping’ görevi görmek için RTSP (Gerçek Zamanlı Yayın Protokolü) mesajlarını kullanıyor.”
Truva atının komuta ve kontrol (C2) iletişimleri ayrıca, iletişim kuran bir IP’yi ana yukarı akış C2 sunucusu olarak belirlemesine, kötü amaçlı yazılım hakkında bilgi almasına ve hatta kendisini sonlandırmasına olanak tanır.
Krasue ayrıca XorDdos adlı başka bir Linux kötü amaçlı yazılımıyla da çeşitli kaynak kodu benzerlikleri paylaşıyor; bu da onun XorDdos ile aynı yazar tarafından veya kaynak koduna erişimi olan aktörler tarafından geliştirildiğini gösteriyor.
“Mevcut bilgiler, Krasue’nun yaratıcısı veya onu vahşi ortamda kullanan gruplar hakkında kesin bir atıf yapmak için yeterli değil, ancak bu kötü amaçlı programların uzun süre radar altında kalabilmesi gerçeği, onu Low, sürekli dikkatin ve daha iyi güvenlik önlemlerinin gerekli olduğunu açıkça belirtti.