泰国电信公司遭遇Krasue RAT恶意软件攻击

关键要点

泰国电信公司的Linux系统自2021年起遭到Krasue远程访问木马RAT隐秘入侵。Krasue RAT内含七种不同的内核级rootkit变种。Malware的分发方式仍不明确，但已经发现与其他恶意软件有相似之处。

根据BleepingComputer的报道，自2021年以来，泰国的电信公司Linux系统已悄然受到Krasue 远程访问木马的入侵，该木马旨在获得持久的主机访问权限。关于Krasue RAT的传播方式细节尚不清楚，但GroupIB的报告显示，该恶意软件二进制文件中包含七种不同的内核级rootkit变种，其中一种伪装成未签名的VMware驱动程序。

在所有的rootkit变种中，发现了类似的系统调用和函数调用钩子功能，这些功能基于开源心态的Diamorphine、Rooty和Suterusu rootkits。Krasue RAT不仅支持六条命令，还内部硬编码了九个不同的命令与控制IP地址，其中一个利用了在实时流媒体协议连接中常见的554端口，这在恶意软件中显得不寻常。

尽管关于Krasue RAT的来源仍存在不确定性，这种恶意软件的rootkit与XorDdos Linux恶意软件的rootkit之间有相似之处，从而暗示这两种恶意软件可能由同一运营者所操控。

白鲸加速器正版特征描述系统Linux木马类型Krasue RATrootkit变种数七种支持的命令数量六条硬编码IP地址数量九个特殊端口554实时流媒体协议

Krasue RAT的出现提醒各组织在全球范围内提供更严格的网络安全防护措施。鉴于该恶意软件的隐蔽性，建议用户定期更新系统和检测潜在的安全威胁，并保持警惕以防止此类攻击。