RAT-троян Krasue прячется на серверах Linux с помощью руткита ядра

RAT-троян Krasue прячется на серверах Linux с помощью руткита ядра

RAT-троян Krasue прячется на серверах Linux с помощью руткита ядра

Основной задачей Linux-трояна, которого в Group-IB нарекли Krasue, является поддержание удаленного доступа к зараженному хосту. Постоянное присутствие и скрытность ему обеспечивают руткиты, заточенные под разные версии ядра ОС.

Каким образом вредонос попадает в систему, доподлинно неизвестно; это может быть эксплойт, брутфорс или загрузка под видом легитимного софта. Эксперты не исключают, что RAT-троян развертывается как часть ботнета или продается как услуга первоначального доступа к чужим сетям.

Анализ показал, что в бинарник Krasue встроены семь вариантов руткита режима ядра, совместимого с Linux веток 2.6.x и 3.10.x. Такой выбор, вероятно, обусловлен тем, что современная EDR-сзащита редко распространяется на столь почтенные Linux-серверы.

Сам руткит оказался производным трех opensource-проектов: Diamorphine, Suterusu, and Rooty. По исходникам он также схож с руткитом другого Linux-зловреда — XorDdos.

Для маскировки вредоносный модуль ядра Linux выдает себя за неподписанный драйвер VMware (в описании значится имя VMware User Mode Helper). Зловред умеет перехватывать системные вызовы kill(), ставить хуки на связанные с сетью функции, скрывать свои файлы и папки, процессы, порты.

В код Krasue вшиты девять IP-адресов C2; один из них использует порт 554, на котором обычно работает RTSP-служба. Как оказалось, сообщения RTSP вредоносу нужны для маскировки пакетов проверки активности, и это его визитная карточка.

Для шифрования C2-коммуникаций используется AES-CBC со статическим ключом (22 32 A4 98 A1 4F 2E 44 CF 55 93 B7 91 59 BE A6). По команде вредонос умеет назначать текущий C2-адрес основным, передавать информацию о своем статусе, выполненных действиях и проблемах, а также завершать свой процесс (команда «god die»).

Первые образцы Krasue были загружены для проверки на VirusTotal в 2021 году. Атаки с его использованием в основном нацелены на телеком-сектор Таиланда.

Малый бизнес оказался любимой добычей брокеров доступа в даркнете

Миф под названием «мы маленькие, кому мы нужны» снова получил по голове статистикой. Эксперты Kaspersky Digital Footprint Intelligence изучили сотни объявлений в даркнете о продаже первоначального доступа к корпоративным системам и выяснили: чаще всего злоумышленники целятся именно в малый и средний бизнес.

Речь идет о публикациях за январь–апрель 2026 года и аналогичный период 2025 года.

По данным исследования, в 2026 году более половины объявлений были связаны с небольшими компаниями: 40% приходилось на малый бизнес, еще 20% — на средние предприятия.

Такие объявления размещают брокеры первоначального доступа — Initial Access Brokers. Они продают не сами украденные данные, а вход в инфраструктуру компании: учётные записи, VPN-доступы, RDP, панели администрирования и другие способы попасть внутрь корпоративных систем. Дальше этот доступ могут купить уже другие злоумышленники — например, операторы программ-вымогателей или мошеннические группы.

В объявлениях продавцы обычно указывают регион компании, отрасль, примерный доход и тип доступа. Для покупателей это почти витрина: выбирай жертву по бюджету, стране и удобству взлома.

По словам аналитика Kaspersky Digital Footprint Intelligence Екатерины Белобородовой, средние компании не менее привлекательны для злоумышленников, чем малые: они уже представляют финансовый интерес, но часто защищены слабее крупного бизнеса. У них меньше бюджета, меньше ИБ-специалистов и меньше возможностей постоянно отслеживать угрозы.

Именно поэтому подход «мы не банк и не корпорация, нас не тронут» больше не работает. Для киберпреступников малый и средний бизнес — не случайная жертва, а нормальный рыночный сегмент.

RSS: Новости на портале Anti-Malware.ru