DinodasRAT
Ve volné přírodě se objevila backdoor napříč platformami známý jako DinodasRAT, konkrétně zaměřený na regiony, jako je Čína, Tchaj-wan, Turecko a Uzbekistán. DinodasRAT, také známý jako XDealer, funguje na systémech Linux a je postaven v jazyce C++, který je vybaven k extrahování různorodé řady citlivých dat z kompromitovaných počítačů.
V říjnu 2023 vyšetřovatelé odhalili, že vládní orgán v Guyaně byl v obležení v rámci iniciativy kybernetické špionáže nazvané Operation Jacana, zaměřené na nasazení Windows tohoto hrozivého implantátu. Koncem března 2024 výzkumníci nastínili shluk hrozeb známých jako Earth Krahang, který zjevně přešel od roku 2023 k používání DinodasRAT při svých útocích, zaměřených na četné vládní subjekty po celém světě.
Obsah
DinodasRAT byl neustále vyvíjen kyberzločinci
Použití DinodasRAT bylo připisováno různým aktérům hrozeb souvisejícím s čínskou spojitostí, včetně LuoYu, což opět odráží sdílení nástrojů převládající mezi hackerskými týmy, které byly identifikovány jako jednající jménem země.
Výzkumníci narazili na linuxovou verzi malwaru (V10) na začátku října 2023. Dosud shromážděné důkazy ukazují, že první známá varianta (V7) pochází z července 2021. Od té doby byla v listopadu detekována verze nové generace (V11). 2023.
Je navržen hlavně tak, aby cílil na distribuce založené na Red Hat a Ubuntu Linux. Po spuštění nastaví trvalost na hostiteli pomocí spouštěcích skriptů SystemV nebo SystemD. Pravidelně kontaktuje vzdálený server přes TCP nebo UDP, aby získal příkazy ke spuštění.
DinodasRAT je sofistikovaná hrozba s mnoha rušivými schopnostmi
DinodasRAT je vybaven řadou funkcí, včetně operací se soubory, změnou adres Command-and-Control (C2), identifikací a ukončením aktivních procesů, prováděním příkazů shellu, načítáním aktualizovaných verzí zadních vrátek a dokonce i samoodstraněním.
Aby se předešlo detekci pomocí nástrojů pro ladění a monitorování, používá DinodasRAT techniky úniku. Podobně jako jeho protějšek Windows využívá k šifrování komunikace C2 Tiny Encryption Algorithm (TEA).
DinodasRAT se primárně zaměřuje na zřízení a udržení přístupu přes linuxové servery spíše než na průzkum. Funguje efektivně, poskytuje operátorovi úplnou kontrolu nad napadeným systémem a usnadňuje krádeže dat a špionáž.
Předpokládá se, že pochází z open-source projektu známého jako SimpleRemoter, který má kořeny v Gh0st RAT , DinodasRAT se vyvinul v plně funkční malware s významnými schopnostmi. Nově objevená linuxová verze hrozby byla sledována některými výzkumníky, jako je Linodas.
Objevila se linuxová varianta DinodasRAT
Jednotlivci za touto hrozbou prokazují vysokou odbornost v systémech Linux. Jejich rozhodnutí podporovat tento operační systém přesahuje pouhou adaptaci trojského koně Windows Remote Access Trojan (RAT) s direktivami podmíněné kompilace (#ifdef). Spíše se jedná o zcela odlišný projekt s vlastní kódovou základnou, případně řízený samostatným vývojovým týmem.
Tato nejnovější iterace zadních vrátek zavádí nové funkce, včetně schopnosti vytvářet více vláken pro monitorování systému, stahování doplňkových modulů schopných narušit specifické systémové binární soubory a ukončování neaktivních reverzních relací shellu přibližně po jedné hodině.
Primárním účelem dodatečného modulu, označovaného jako „modul filtru“, je sloužit jako proxy pro spouštění původních binárních souborů (např. příkazy jako „who“, „netstat“ a „ps“) a řízení jejich výstupu. . To umožňuje aktérům hrozeb extrahovat informace z hostitele a efektivněji se vyhýbat detekci.
Propracovanost a rozšířené schopnosti pozorované u této hrozby podtrhují pokračující zaměření aktérů hrozeb na zacílení na linuxové servery. Takové útoky slouží jak k nastolení trvalé přítomnosti, tak slouží jako stěžejní bod v ohrožených sítích. Tato strategie pravděpodobně těží z srovnatelně nižší úrovně bezpečnostních opatření obvykle nasazovaných na systémech Linux, což útočníkům umožňuje prohloubit jejich postavení a po delší dobu skrytě působit.
