DinodasRAT
Междуплатформена задна врата, известна като DinodasRAT, се появи в дивата природа, специално насочена към региони като Китай, Тайван, Турция и Узбекистан. Разпознат също като XDealer, DinodasRAT работи на Linux системи и е изграден на C++, който е оборудван да извлича разнообразен масив от чувствителни данни от компрометирани машини.
През октомври 2023 г. следователите разкриха, че правителствен орган в Гвиана е бил под обсада като част от инициатива за кибершпионаж, наречена Operation Jacana, фокусирана върху внедряването на Windows итерация на този заплашителен имплант. В края на март 2024 г. изследователите очертаха група от заплахи, известни като Earth Krahang, които очевидно са преминали към използване на DinodasRAT от 2023 г. насам в своите атаки, насочени към множество правителствени организации по целия свят.
Съдържание
DinodasRAT е непрекъснато разработван от киберпрестъпници
Използването на DinodasRAT се приписва на различни участници в заплахите от Китай-Nexus, включително LuoYu, което отново отразява споделянето на инструменти, преобладаващо сред хакерските екипи, идентифицирани като действащи от името на страната.
Изследователите се натъкнаха на Linux версия на злонамерения софтуер (V10) в началото на октомври 2023 г. Доказателствата, събрани досега, показват, че първият известен вариант (V7) датира от юли 2021 г. Версия от следващо поколение (V11) беше открита през ноември 2023 г.
Той е предназначен основно за насочване към базирани на Red Hat дистрибуции и Ubuntu Linux. При изпълнение той установява постоянство на хоста чрез използване на скриптове за стартиране на SystemV или SystemD. Той периодично се свързва с отдалечен сървър през TCP или UDP, за да извлече командите, които да бъдат изпълнени.
DinodasRAT е сложна заплаха с множество натрапчиви възможности
DinodasRAT е оборудван с различни възможности, включително файлови операции, промяна на командно-контролни (C2) адреси, идентифициране и прекратяване на активни процеси, изпълнение на команди на shell, извличане на актуализирани версии на задната врата и дори самопремахване.
За да избегне откриването чрез инструменти за отстраняване на грешки и мониторинг, DinodasRAT използва техники за избягване. Подобно на своя колега за Windows, той използва алгоритъма за шифроване Tiny Encryption (TEA) за криптиране на C2 комуникации.
DinodasRAT се фокусира предимно върху установяване и поддържане на достъп чрез Linux сървъри, а не върху разузнаване. Той работи ефективно, предоставяйки на оператора пълен контрол върху компрометираната система и улеснявайки кражбата на данни и шпионажа.
Смята се, че произлиза от проект с отворен код, известен като SimpleRemoter, който се корени в Gh0st RAT , DinodasRAT се превърна в напълно функционален зловреден софтуер със значителни възможности. Новооткритата Linux версия на заплахата е проследена от някои изследователи, като Linodas.
Появи се Linux вариант на DinodasRAT
Лицата зад тази заплаха демонстрират висока компетентност в Linux системите. Тяхното решение да поддържат тази операционна система надхвърля обикновената адаптация на Windows Remote Access Trojan (RAT) с директиви за условно компилиране (#ifdef). По-скоро включва напълно отделен проект със собствена кодова база, вероятно управляван от отделен екип за разработка.
Тази последна итерация на задната вратичка въвежда нови функционалности, включително възможността за създаване на множество нишки за наблюдение на системата, изтегляне на допълнителни модули, способни да разрушат специфични системни двоични файлове и прекратяване на неактивни обратни сесии на обвивката след приблизително един час.
Основната цел на допълнителния модул, наричан „филтърен модул“, е да служи като прокси за изпълнение на оригинални двоични файлове (напр. команди като „who“, „netstat“ и „ps“) и да контролира изхода им . Това позволява на участниците в заплахата да извличат информация от хоста, като същевременно избягват откриването по-ефективно.
Сложността и разширените възможности, наблюдавани в тази заплаха, подчертават продължаващия фокус на участниците в заплахата върху насочването към Linux сървъри. Такива атаки служат както за установяване на постоянно присъствие, така и за опорна точка в компрометираните мрежи. Тази стратегия вероятно се възползва от сравнително по-ниското ниво на мерки за сигурност, които обикновено се прилагат на Linux системи, което позволява на нападателите да задълбочат своите позиции и да действат тайно за продължителни периоди.
