泰国电信公司遭遇Krasue RAT恶意软件攻击

关键要点

根据BleepingComputer的报道，自2021年以来，泰国的电信公司Linux系统已悄然受到Krasue 远程访问木马的入侵，该木马旨在获得持久的主机访问权限。关于Krasue RAT的传播方式细节尚不清楚，但GroupIB的报告显示，该恶意软件二进制文件中包含七种不同的内核级rootkit变种，其中一种伪装成未签名的VMware驱动程序。

在所有的rootkit变种中，发现了类似的系统调用和函数调用钩子功能，这些功能基于开源心态的Diamorphine、Rooty和Suterusu rootkits。Krasue RAT不仅支持六条命令，还内部硬编码了九个不同的命令与控制IP地址，其中一个利用了在实时流媒体协议连接中常见的554端口，这在恶意软件中显得不寻常。

尽管关于Krasue RAT的来源仍存在不确定性，这种恶意软件的rootkit与XorDdos Linux恶意软件的rootkit之间有相似之处，从而暗示这两种恶意软件可能由同一运营者所操控。

Krasue RAT的出现提醒各组织在全球范围内提供更严格的网络安全防护措施。鉴于该恶意软件的隐蔽性，建议用户定期更新系统和检测潜在的安全威胁，并保持警惕以防止此类攻击。