Krasue Linux RAT oldukça karmaşıktır ve Rootkit ve RTSP iletişimi yoluyla tespitten kaçma yeteneği ile donatılmıştır.
Önde gelen bir siber güvenlik şirketi olan Group-IB, “Krasue” adını verdikleri yeni ve gelişmiş bir Linux RAT’ı (Uzaktan Erişim Truva Atı) ortaya çıkardı. Kötü amaçlı yazılım, Tayland’daki başta telekomünikasyon firmaları olmak üzere kuruluşları aktif olarak hedef alıyor ve 2021’den beri aktif.
GroupIB’nin Tehdit İstihbaratı birimi araştırmacıları, Krause’un hedeflenen ağa erişim sağlayarak çalıştığını ve kalıcılığı sürdürmek ve gizli erişim sağlamak için rootkit yeteneklerini kullandığını buldu.
Araştırmacılar hala ilk enfeksiyon vektörünü ve RAT kullanımının tam ölçeğini araştırıyor. Ancak potansiyel yöntemlerin güvenlik açığından yararlanma, yanıltıcı indirmeler ve kimlik bilgisi kaba kuvvet saldırıları içerdiğine inanıyorlar.
Krause’un dikkate değer bir özelliği, C2 sunucusuyla iletişim için Gerçek Zamanlı Yayın Protokolünü (RTSP) kullanmasıdır. Bu alışılmadık bir taktiktir ve büyük olasılıkla güvenlik yazılımı tarafından tespit edilmekten kaçınmak için kullanılır.
Raporun yazarı Group-IB’nin Kötü Amaçlı Yazılım Analisti Sharmine Low, Krause’un adını Güneydoğu Asya folklorunda bahsedilen gece ruhundan aldığını yazdı. Siber suçluların güvenliği ihlal edilmiş sistemlere uzaktan erişmesine ve kontrol etmesine ve önemli bir süre boyunca tespit edilmeden kalmasına olanak tanır.
Krasue, farklı Linux çekirdek sürümleriyle uyumluluğu sağlamak için birden fazla yerleşik rootkit kullanır. İlginç bir şekilde, diğer birçok Linux rootkit’inde olduğu gibi, Krasue’nin rootkit’i de işlevlerini kamuya açık kaynaklardan alıyor ve özellikle üç açık kaynaklı Linux Çekirdek Modülü rootkit’inden gelen kodları içeriyor.
Bu yerleşik rootkit, kill() gibi önemli sistem çağrılarını, ağla ilgili işlevleri ve dosya listeleme işlemlerini, varlığını etkili bir şekilde maskelemek ve tespit edilmekten kaçınmak için bağlayabilir. Araştırmacılar bu RAT’ın, XorDdos Linux Truva Atını geliştiren kişi veya kaynak koduna erişimi olan kişi tarafından oluşturulduğuna inanıyor.
Group-IB’nin Tayland’daki İş Geliştirme Müdürü Benyatip Hongto, Tayland’da Dijital Suçla Mücadele Merkezi’nin planlanan açılışı ve önde gelen siber güvenlik distribütörü nForce ile ortaklıkları da dahil olmak üzere şirketin siber suçlarla mücadele konusundaki kararlılığını ve proaktif çabalarını vurguladı.
Grup-IB araştırmacıları, Krause’u keşfettikten sonra Tehdit İstihbaratı müşterilerini derhal bilgilendirdi ve YARA kuralları içeren bir rapor yayınladı; bu rapor, ThaiCERT ve TTC-CERT dahil olmak üzere Taylandlı yetkililerle paylaşıldı.
Bu açıklama, sürekli büyüyen siber risk tehdidinin ve güçlü siber güvenlik önlemlerine duyulan ihtiyacın altını çiziyor. Kuruluşlar, Krause gibi tehditlerin farkında olmalı ve sıkı erişim kontrolü, düzenli yamalama ve gelişmiş tehdit algılama çözümleri gibi uygun güvenlik önlemlerini uygulamalıdır.
İLGİLİ MAKALELER
- Yeni Cylance Fidye Yazılımı Linux ve Windows’u Hedefliyor
- Yamalı OpenSSH IoT ve Linux Kripto Madenciliği için Kullanılıyor
- Ücretsiz İndirme Yöneticisi Sitesi Pushed Linux Şifre Çalıcı
- Kinsing Kripto Kötü Amaçlı Yazılımı Apache Kusuru Yoluyla Linux Sistemlerini Etkiliyor
- Hamas, Yeni BiBi-Linux Silecek Kötü Amaçlı Yazılımıyla İsraillileri Hedef Alıyor