Krasue : Le nouveau cheval de Troie Linux furtif cible les entreprises de télécommunications en Thaïlande

Nommé d’après un esprit féminin nocturne du folklore de l’Asie du Sud-Est, le logiciel malveillant est « capable de dissimuler sa propre présence pendant la phase d’initialisation », a déclaré Group-IB dans un rapport partagé avec The Hacker News.

Le vecteur d’accès initial exact utilisé pour déployer Krasue n’est pas connu à l’heure actuelle, bien que l’on soupçonne qu’il puisse s’agir de l’exploitation d’une vulnérabilité, d’une attaque par force brute des identifiants ou d’un téléchargement dans le cadre d’un faux logiciel ou d’un binaire.

Les principales fonctionnalités du logiciel malveillant sont réalisées par un rootkit qui se fait passer pour un pilote VMware non signé et lui permet de persister sur l’hôte sans attirer l’attention. Le rootkit est dérivé de projets open-source tels que Diamorphine, Suterusu et Rooty.

Il est donc possible que Krasue soit déployé dans le cadre d’un réseau de zombies ou vendu par des courtiers d’accès initiaux à d’autres cybercriminels, tels que des affiliés de ransomware, qui cherchent à obtenir l’accès à une cible spécifique.

« Le rootkit peut utiliser l’appel système `kill()`, des fonctions liées au réseau et des opérations de listage de fichiers afin de dissimuler ses activités et d’échapper à la détection », a déclaré Sharmine Low, analyste en logiciels malveillants chez Group-IB. « Krasue utilise notamment des messages RTSP (Real Time Streaming Protocol) pour servir de ‘alive ping’ déguisé, une tactique rarement observée dans la nature. Les communications de commande et de contrôle (C2) du cheval de Troie lui permettent en outre de désigner une IP communicante comme son serveur C2 principal en amont, d’obtenir des informations sur le logiciel malveillant et même de se terminer lui-même. Krasue présente également plusieurs similitudes au niveau du code source avec un autre maliciel Linux appelé XorDdos, ce qui indique qu’il a été développé par le même auteur que ce dernier, ou par des acteurs ayant eu accès à son code source. Le Group-IB a déclaré à The Hacker News qu’il avait jusqu’à présent identifié un cas confirmé et qu’il enquêtait sur trois autres incidents potentiels dans lesquels le logiciel malveillant avait été utilisé. Les informations disponibles ne sont pas suffisantes pour attribuer de manière concluante le créateur de Krasue ou les groupes qui l’utilisent dans la nature, mais le fait que ces programmes malveillants puissent rester sous le radar pendant de longues périodes montre clairement qu’une vigilance constante et de meilleures mesures de sécurité sont nécessaires », a déclaré M. Low.