DinodasRAT

Una porta del darrere multiplataforma coneguda com DinodasRAT ha aparegut a la natura, dirigida específicament a regions com la Xina, Taiwan, Turquia i Uzbekistan. També reconegut com a XDealer, DinodasRAT funciona amb sistemes Linux i està construït en C++, que està equipat per extreure una gran varietat de dades sensibles de màquines compromeses.

L'octubre de 2023, els investigadors van revelar que un organisme governamental de Guyana estava assetjat com a part d'una iniciativa d'espionatge cibernètic anomenada Operació Jacana, centrada en desplegar la iteració de Windows d'aquest implant amenaçador. A finals de març de 2024, els investigadors van descriure un grup d'activitats d'amenaça conegudes com a Earth Krahang, que aparentment ha passat a utilitzar DinodasRAT des del 2023 en els seus assalts, dirigits a nombroses entitats governamentals d'arreu del món.

DinodasRAT ha estat desenvolupat contínuament pels cibercriminals

L'ús de DinodasRAT s'ha atribuït a diversos actors d'amenaça del nexe de la Xina, inclòs LuoYu, cosa que reflecteix una vegada més l'ús compartit d'eines que predomina entre els equips de pirateria que s'identifiquen com a actuant en nom del país.

Els investigadors es van trobar amb una versió de Linux del programari maliciós (V10) a principis d'octubre de 2023. Les proves reunides fins ara mostren que la primera variant coneguda (V7) es remunta al juliol de 2021. Des de llavors s'ha detectat una versió de nova generació (V11) al novembre. 2023.

Està dissenyat principalment per orientar distribucions basades en Red Hat i Ubuntu Linux. Després de l'execució, estableix la persistència a l'amfitrió mitjançant scripts d'inici SystemV o SystemD. Periòdicament contacta amb un servidor remot a través de TCP o UDP per obtenir les ordres que s'executaran.

DinodasRAT és una amenaça sofisticada amb nombroses capacitats intrusives

DinodasRAT ve equipat amb una varietat de capacitats, com ara operacions de fitxers, alteració d'adreces de comandament i control (C2), identificació i finalització de processos actius, execució d'ordres de l'intèrpret d'ordres, obtenció de versions actualitzades de la porta posterior i fins i tot autoeliminació.

Per evitar la detecció mitjançant eines de depuració i monitorització, DinodasRAT utilitza tècniques d'evasió. De manera similar al seu homòleg de Windows, utilitza l'algoritme de xifrat petit (TEA) per xifrar les comunicacions C2.

DinodasRAT se centra principalment a establir i mantenir l'accés mitjançant servidors Linux en lloc de fer reconeixement. Funciona de manera eficient, atorgant a l'operador un control total sobre el sistema compromès i facilitant el robatori de dades i l'espionatge.

Es creu que s'ha originat a partir d'un projecte de codi obert conegut com SimpleRemoter, que està arrelat a Gh0st RAT , DinodasRAT ha evolucionat cap a un programari maliciós totalment funcional amb capacitats importants. Alguns investigadors, com Linodas, han fet un seguiment de la versió de Linux recentment descoberta de l'amenaça.

Ha sorgit una variant Linux de DinodasRAT

Els individus darrere d'aquesta amenaça demostren una gran competència en sistemes Linux. La seva decisió de donar suport a aquest sistema operatiu va més enllà d'una mera adaptació d'un troià d'accés remot de Windows (RAT) amb directives de compilació condicional (#ifdef). Més aviat, implica un projecte completament diferent amb la seva pròpia base de codi, possiblement gestionat per un equip de desenvolupament independent.

Aquesta darrera iteració de la porta posterior introdueix noves funcionalitats, inclosa la possibilitat de crear múltiples fils per a la supervisió del sistema, la descàrrega de mòduls suplementaris capaços d'interrompre els binaris del sistema específics i la finalització de sessions de shell inversa inactives després d'aproximadament una hora.

L'objectiu principal del mòdul addicional, conegut com a "mòdul de filtre", és servir com a intermediari per executar binaris originals (per exemple, ordres com "qui", "netstat" i "ps") i controlar la seva sortida. . Això permet als actors de l'amenaça extreure informació de l'amfitrió alhora que evadir la detecció de manera més eficaç.

La sofisticació i les capacitats ampliades observades en aquesta amenaça subratllen l'enfocament constant dels actors de l'amenaça a orientar-se als servidors Linux. Aquests atacs serveixen tant per establir una presència persistent com per servir com a punt de pivot dins de xarxes compromeses. Aquesta estratègia probablement aprofita el nivell comparativament més baix de mesures de seguretat desplegades normalment als sistemes Linux, la qual cosa permet als atacants aprofundir en la seva posició i operar de manera encoberta durant períodes prolongats.