I ricercatori della società di sicurezza informatica di Group-IB hanno scoperto un trojan di accesso remoto, rinominato Krasue RAT. Questo malware prende di mira i sistemi Linux delle società di telecomunicazioni. Il malware è presente dal 2021, ma è sempre riuscito a passare inosservato. I ricercatori hanno scoperto che il codice binario di Krasue include sette varianti di un rootkit. Questo supporta più versioni del kernel Linux e si basa sul codice di tre progetti open source. Secondo Group-IB, la funzione principale del malware è quella di mantenere l’accesso all’host, il che potrebbe suggerire che venga distribuito tramite una botnet o venduto dai broker di accesso iniziale ad autori di minacce che cercano di accedere a un particolare obiettivo. I ricercatori ritengono che il trojan di accesso remoto Krasue RAT possa essere utilizzato in una fase successiva dell’attacco proprio per mantenere l’accesso all’host della vittima.
Karuse RAT: un rootkit difficile da rilevare, soprattutto nelle vecchie versioni di Linux
L’analisi di Group-IB ha rivelato che il rootkit all’interno del file binario di Krasue RAT è un Linux Kernel Module (LKM). Questo si maschera da driver VMware non firmato dopo essere stato eseguito. I rootkit a livello di kernel sono difficili da rilevare e da rimuovere, poiché operano allo stesso livello di sicurezza del sistema operativo. Il rootkit supporta le versioni del kernel Linux 2.6x/3.10.x. Ciò, secondo i ricercatori, gli consentirebbe di passare inosservato. I server Linux più vecchi hanno infatti una scarsa copertura di rilevamento e risposta degli endpoint. Group-IB ha scoperto che tutte e sette le versioni di rootkit incorporato presentano le stesse funzionalità di hooking delle chiamate di sistema e delle chiamate di funzione e utilizzano lo stesso nome falso “VMware User Mode Helper“.
Iricercatori hanno notato che rootit si basa su tre rootkit LKM open source, in particolare Diamorfine, Suterusu e Rooty, tutti disponibili dal 2017. Il rootkit Krasue RAT può nascondere o mostrare porte, rendere invisibili i processi, fornire privilegi di root ed eseguire il comando kill per qualsiasi ID di processo. Può anche coprire le sue tracce nascondendo file e directory relativi al malware. I ricercatori non hanno ancora scoperto in che modo venga distribuito il malware. Tuttavia, gli hacker potrebbero sfruttare una vulnerabilità, eseguire un attacco di forza bruta alle credenziali utente o addirittura il malware può essere scaricato da una fonte non sicura, come un pacchetto o file binario che si finge un prodotto legittimo. Ad oggi L’obiettivo di Krasue sembra essere limitato alle società di telecomunicazioni in Tailandia, ma è comunque utile prestare sempre attenzione in caso di attacchi futuri in altri paesi.