Krasue Linux trójai
Group-IB’s Threat Intelligence egy új Linux távoli hozzáférésű trójai azonosított a thaiföldi vállalatok elleni támadásokban. Egyre nagyobb rendszerességgel használnak a kiberbűnözők új pusztító eszközöket. Az év elején a Group-IB Threat Intelligence egység felfedezett egy Linux Remote Access Trojan (RAT) nevű trójai vírust, amely sokáig a rejtve maradt. Először 2021-ben regisztráltak a Virustotalon, szinte kizárólag thaiföldi szervezetek ellen használták. A cikk megírásának időpontjában a Group-IB kutatói meg tudják erősíteni, hogy a Krasue-t telekommunikációs vállalatok ellen használták, bár valószínűleg más vertikális területek szervezetei elleni támadásokban is alkalmazták. Mivel kizárólag thaiföldi vállalatokat támadtak meg, a Group-IB úgy döntött, hogy ezt a RAT-ot Krasue-nak nevezi el, ami a délkelet-ázsiai folklórban ismert éjszakai bennszülött szellem thaiföldi nevére utal. Krasue, aki állítólag a levegőben lebeg a föld felett, és akit a rendkívüli éhség hajt, komoly veszélyt jelent a kritikus rendszerekre és az érzékeny adatokra, mivel képes távoli hozzáférést biztosítani a támadóknak a célzott hálózathoz. A kártevő a bináris állományba beágyazott rootkiteket is tartalmaz.
A Krasue-t valószínűleg vagy egy botnet részeként telepítik, vagy a kezdeti hozzáférést közvetítők adják el más kiberbűnözőknek. Valószínűleg a Krasue-t ugyanaz a szerző hozta létre, mint a Microsoft által egy 2022. márciusi blogbejegyzésben dokumentált XorDdos Linux trójai vírust, vagy valaki, aki hozzáférhetett az utóbbi forráskódjához. Az inicializálási fázisban a rootkit elrejti saját jelenlétét.