Krasue
Krasueというリモートアクセストロイの活動が観測されています。
どんなものなのでしょうか。
- 初期感染経路
どういった経路で侵入するモノなのかについては、まだ確認されていません。
普通に想像すると、脆弱性の悪用、不正なダウンロード、資格情報のブルートフォース攻撃などの方法で初期感染を実現する可能性が考えられます。 - 隠れる機能
Krasueには隠れるための機能が複数実装されています。
ルートキットというものがあります。
これは、作動中のプロセスやファイルやシステムデータを隠蔽する狙いがあり、ユーザに察知させることなく侵入者がシステムへのアクセスを維持することを支援するものです。
このルートキットは多くの実装があり、また多くのルートキットはソースが公開されています。
このKrasueには、3つのルートキットの機能が含まれています。
Diamorphine、Suterusu、Rootyの3つで、これらはいずれもloadable kernel moduleです。Linuxのカーネルに読み込まれて動作するものです。
これらのルートキットの機能により、マルウェアに関連するファイルとディレクトリを非表示にする、ルートキットそのものを隠す、ルートアクセスを提供する(管理者権限の実現です)、ポートとプロセスを非表示にする、といった効能を実現してしまいます。
複数のルートキットを混合することにより、このマルウェアがどういった脅威アクターによって展開されているものであるのかという予測を行いにくくしているという面もあります。 - C2との通信
Krasueはリモートアクセストロイですので、C2と通信します。
その通信は、RTSP(Real-Time Streaming Protocol)メッセージを偽装したものになっています。
いろいろな通信プロトコルがC2に利用されますが、RTSPが使われるケースはこれまであまり確認されていません。
このマルウェアはこういった特徴を持つためか、長期間の潜伏に成功していたことが確認されています。
内容が明らかになったのは最近のことなのですが、2021年くらいにはすでに存在していたのです。
顕在化している脅威は、実際の問題の規模に比較して、とても小さいということなのでしょうか。
脆弱性のパッチ適用などの運用は未来の脅威に対しては有効ですが、すでに侵入済みの脅威に対しては効果が薄いことが考えられます。
ときにはクリーンインストールでシステムを新たに構築しなおすということも有効かもしれません。
参考記事(外部リンク):Curse of the Krasue: New Linux Remote Access Trojan targets Thailand
www.group-ib.com/blog/krasue-rat/
