DinodasRAT
En bagdør på tværs af platforme kendt som DinodasRAT er dukket op i naturen, specifikt rettet mod regioner som Kina, Taiwan, Tyrkiet og Usbekistan. DinodasRAT, der også er anerkendt som XDealer, fungerer på Linux-systemer og er bygget i C++, som er udstyret til at udtrække en bred vifte af følsomme data fra kompromitterede maskiner.
I oktober 2023 afslørede efterforskere, at et statsligt organ i Guyana var under belejring som en del af et cyberspionageinitiativ kaldet Operation Jacana, med fokus på at implementere Windows-iterationen af dette truende implantat. I slutningen af marts 2024 skitserede forskere en klynge af trusselsaktiviteter kendt som Earth Krahang, som tilsyneladende er gået over til at bruge DinodasRAT siden 2023 i sine angreb, rettet mod adskillige regeringsenheder over hele kloden.
Indholdsfortegnelse
DinodasRAT er løbende blevet udviklet af cyberkriminelle
Brugen af DinodasRAT er blevet tilskrevet forskellige trusselsaktører i Kina-nexus, inklusive LuoYu, hvilket igen afspejler den værktøjsdeling, der er fremherskende blandt hackerhold, der er identificeret som værende på vegne af landet.
Forskere faldt over en Linux-version af malwaren (V10) i begyndelsen af oktober 2023. Indsamlede beviser viser, at den første kendte variant (V7) går tilbage til juli 2021. En næste generations version (V11) er siden blevet opdaget i november 2023.
Det er hovedsageligt designet til at målrette Red Hat-baserede distributioner og Ubuntu Linux. Ved udførelse etablerer den persistens på værten ved at bruge SystemV eller SystemD opstartsscripts. Den kontakter med jævne mellemrum en fjernserver over TCP eller UDP for at hente de kommandoer, der skal køres.
DinodasRAT er en sofistikeret trussel med adskillige påtrængende egenskaber
DinodasRAT er udstyret med en række funktioner, herunder filoperationer, ændring af Command-and-Control (C2) adresser, identifikation og afslutning af aktive processer, udførelse af shell-kommandoer, hentning af opdaterede versioner af bagdøren og endda selvfjernelse.
For at undgå påvisning ved hjælp af fejlfindings- og overvågningsværktøjer anvender DinodasRAT undvigelsesteknikker. I lighed med Windows-modstykket bruger den Tiny Encryption Algorithm (TEA) til at kryptere C2-kommunikation.
DinodasRAT fokuserer primært på at etablere og opretholde adgang via Linux-servere frem for rekognoscering. Det fungerer effektivt, giver operatøren total kontrol over det kompromitterede system og letter datatyveri og spionage.
DinodasRAT menes at stamme fra et open source-projekt kendt som SimpleRemoter, som er forankret i Gh0st RAT , og har udviklet sig til en fuldt funktionel malware med betydelige muligheder. Den nyopdagede Linux-version af truslen er blevet sporet af nogle forskere, såsom Linodas.
En Linux-variant af DinodasRAT er dukket op
Personerne bag denne trussel demonstrerer høje færdigheder i Linux-systemer. Deres beslutning om at understøtte dette operativsystem går ud over blot en tilpasning af en Windows Remote Access Trojan (RAT) med betingede kompileringsdirektiver (#ifdef). Det involverer snarere et helt særskilt projekt med sin egen kodebase, muligvis styret af et separat udviklingsteam.
Denne seneste iteration af bagdøren introducerer nye funktionaliteter, herunder muligheden for at oprette flere tråde til systemovervågning, downloade supplerende moduler, der er i stand til at forstyrre specifikke systembinære filer, og afslutte inaktive reverse shell-sessioner efter cirka en time.
Det primære formål med det ekstra modul, der refereres til som 'filtermodulet', er at tjene som proxy til at udføre originale binære filer (f.eks. kommandoer som 'hvem', 'netstat' og 'ps') og kontrollere deres output . Dette gør det muligt for trusselsaktører at udtrække information fra værten, mens de undgår opdagelse mere effektivt.
De sofistikerede og udvidede muligheder, der observeres i denne trussel, understreger trusselsaktørernes fortsatte fokus på at målrette Linux-servere. Sådanne angreb tjener både til at etablere en vedvarende tilstedeværelse og til at tjene som et omdrejningspunkt i kompromitterede netværk. Denne strategi udnytter sandsynligvis det relativt lavere niveau af sikkerhedsforanstaltninger, der typisk er implementeret på Linux-systemer, hvilket gør det muligt for angribere at uddybe deres fodfæste og operere skjult i længere perioder.
