RAT-троян Krasue прячется на серверах Linux с помощью руткита ядра

Татьяна Никитина 07 Декабря 2023 - 18:55

Домашние пользователи

...

Основной задачей Linux-трояна, которого в Group-IB нарекли Krasue, является поддержание удаленного доступа к зараженному хосту. Постоянное присутствие и скрытность ему обеспечивают руткиты, заточенные под разные версии ядра ОС.

Каким образом вредонос попадает в систему, доподлинно неизвестно; это может быть эксплойт, брутфорс или загрузка под видом легитимного софта. Эксперты не исключают, что RAT-троян развертывается как часть ботнета или продается как услуга первоначального доступа к чужим сетям.

Анализ показал, что в бинарник Krasue встроены семь вариантов руткита режима ядра, совместимого с Linux веток 2.6.x и 3.10.x. Такой выбор, вероятно, обусловлен тем, что современная EDR-сзащита редко распространяется на столь почтенные Linux-серверы.

Сам руткит оказался производным трех opensource-проектов: Diamorphine, Suterusu, and Rooty. По исходникам он также схож с руткитом другого Linux-зловреда — XorDdos.

Для маскировки вредоносный модуль ядра Linux выдает себя за неподписанный драйвер VMware (в описании значится имя VMware User Mode Helper). Зловред умеет перехватывать системные вызовы kill(), ставить хуки на связанные с сетью функции, скрывать свои файлы и папки, процессы, порты.

В код Krasue вшиты девять IP-адресов C2; один из них использует порт 554, на котором обычно работает RTSP-служба. Как оказалось, сообщения RTSP вредоносу нужны для маскировки пакетов проверки активности, и это его визитная карточка.

Для шифрования C2-коммуникаций используется AES-CBC со статическим ключом (22 32 A4 98 A1 4F 2E 44 CF 55 93 B7 91 59 BE A6). По команде вредонос умеет назначать текущий C2-адрес основным, передавать информацию о своем статусе, выполненных действиях и проблемах, а также завершать свой процесс (команда «god die»).

Первые образцы Krasue были загружены для проверки на VirusTotal в 2021 году. Атаки с его использованием в основном нацелены на телеком-сектор Таиланда.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Марта 2026 - 10:48

Домашние пользователи Корпорации

МойОфис начал массовые сокращения на фоне финансовых трудностей

У разработчика офисного ПО «МойОфис» начались массовые сокращения. О предстоящем увольнении сотрудников будут уведомлять по электронной почте в течение ближайших двух недель. При этом в компании обещают соблюсти требования трудового законодательства, а часть специалистов готовы рассматривать на вакансии основного владельца бизнеса — «Лаборатории Касперского».

О ситуации сообщил CNews, сославшись на внутреннее письмо гендиректора компании Вячеслава Закоржевского, которое, как утверждается, было разослано сотрудникам 23 марта 2026 года.

Судя по содержанию письма, в 2025 году «МойОфис» столкнулся с серьёзными финансовыми трудностями. Несмотря на предпринятые усилия, объём ключевых направлений бизнеса сократился, а текущая модель работы, как следует из документа, требует серьёзной перестройки, чтобы компания смогла сохранить устойчивость.

Дополнительный резонанс ситуации добавили слова одного из акционеров, Дмитрия Комиссарова. По его словам, решение о сокращениях принимала «Лаборатория Касперского», которая владеет контрольной долей в компании. При этом, как утверждает Комиссаров, миноритарных акционеров не уведомили ни о результатах 2025 года, ни о планируемой реструктуризации, ни о планах на 2026-й.

Напомним, ранее «Лаборатория Касперского» прокомментировала слухи о возможной продаже разработчика офисного ПО «МойОфис» и дала понять: никакой сделки на горизонте сейчас нет.

Финансовая картина у компании и правда остаётся тяжёлой. По итогам 2024 года «МойОфис» показал чистый убыток в 1,2 млрд рублей. Для сравнения: в 2023 году убыток был ещё выше — 5 млрд рублей. Отчётность за 2025 год пока не опубликована.

И это особенно заметно на фоне общего состояния рынка. Российский рынок программного обеспечения, наоборот, продолжает расти: по итогам 2025 года его объём, по приведённым данным, достиг 808 млрд рублей, прибавив 21% год к году. Росту помогли уход иностранных вендоров, активное импортозамещение и налоговые льготы для отрасли.

В самой компании подчёркивают, что речь идёт именно о реструктуризации. После неё, как заявили представители «МоегоОфиса», будут трансформированы отдельные внутренние функции и подразделения. При этом разработчик продолжает работать в обычном режиме и выполнять обязательства перед клиентами и партнёрами.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!