DinodasRAT
Ένα cross-platform backdoor γνωστό ως DinodasRAT έχει εμφανιστεί στη φύση, στοχεύοντας συγκεκριμένα περιοχές όπως η Κίνα, η Ταϊβάν, η Τουρκία και το Ουζμπεκιστάν. Αναγνωρισμένο επίσης ως XDealer, το DinodasRAT λειτουργεί σε συστήματα Linux και είναι ενσωματωμένο σε C++, το οποίο είναι εξοπλισμένο για να εξάγει μια ποικιλία από ευαίσθητα δεδομένα από παραβιασμένα μηχανήματα.
Τον Οκτώβριο του 2023, οι ερευνητές αποκάλυψαν ότι ένα κυβερνητικό όργανο στη Γουιάνα ήταν υπό πολιορκία ως μέρος μιας πρωτοβουλίας κυβερνοκατασκοπείας που ονομάζεται Operation Jacana, με επίκεντρο την ανάπτυξη της επανάληψης των Windows αυτού του απειλητικού εμφυτεύματος. Στα τέλη Μαρτίου 2024, οι ερευνητές περιέγραψαν ένα σύμπλεγμα δραστηριοτήτων απειλών, γνωστό ως Earth Krahang, το οποίο προφανώς έχει μεταβεί στη χρήση του DinodasRAT από το 2023 στις επιθέσεις του, στοχεύοντας πολλές κυβερνητικές οντότητες σε όλο τον κόσμο.
Πίνακας περιεχομένων
Το DinodasRAT αναπτύσσεται συνεχώς από κυβερνοεγκληματίες
Η χρήση του DinodasRAT έχει αποδοθεί σε διάφορους παράγοντες της απειλής China-nexus, συμπεριλαμβανομένου του LuoYu, αντικατοπτρίζοντας για άλλη μια φορά την κοινή χρήση εργαλείων που επικρατεί μεταξύ των πληρωμάτων hacking που προσδιορίζονται ότι ενεργούν για λογαριασμό της χώρας.
Οι ερευνητές βρήκαν μια έκδοση Linux του κακόβουλου λογισμικού (V10) στις αρχές Οκτωβρίου 2023. Τα στοιχεία που έχουν συγκεντρωθεί μέχρι στιγμής δείχνουν ότι η πρώτη γνωστή παραλλαγή (V7) χρονολογείται από τον Ιούλιο του 2021. Έκτοτε, μια έκδοση επόμενης γενιάς (V11) εντοπίστηκε τον Νοέμβριο 2023.
Έχει σχεδιαστεί κυρίως για να στοχεύει διανομές που βασίζονται σε Red Hat και Ubuntu Linux. Κατά την εκτέλεση, εδραιώνει την επιμονή στον κεντρικό υπολογιστή χρησιμοποιώντας σενάρια εκκίνησης SystemV ή SystemD. Επικοινωνεί περιοδικά με έναν απομακρυσμένο διακομιστή μέσω TCP ή UDP για να ανακτήσει τις εντολές που θα εκτελεστούν.
Το DinodasRAT είναι μια εξελιγμένη απειλή με πολυάριθμες παρεμβατικές δυνατότητες
Το DinodasRAT είναι εξοπλισμένο με μια ποικιλία δυνατοτήτων, όπως λειτουργίες αρχείων, αλλαγή διευθύνσεων Command-and-Control (C2), αναγνώριση και τερματισμό ενεργών διεργασιών, εκτέλεση εντολών κελύφους, λήψη ενημερωμένων εκδόσεων του backdoor, ακόμη και αυτοκατάργηση.
Για να αποφευχθεί ο εντοπισμός με εργαλεία εντοπισμού σφαλμάτων και παρακολούθησης, το DinodasRAT χρησιμοποιεί τεχνικές αποφυγής. Παρόμοια με το αντίστοιχο των Windows, χρησιμοποιεί τον Tiny Encryption Algorithm (TEA) για την κρυπτογράφηση των επικοινωνιών C2.
Το DinodasRAT εστιάζει κυρίως στη δημιουργία και τη διατήρηση της πρόσβασης μέσω διακομιστών Linux και όχι στην αναγνώριση. Λειτουργεί αποτελεσματικά, παρέχοντας στον χειριστή τον απόλυτο έλεγχο του παραβιασμένου συστήματος και διευκολύνοντας την κλοπή και την κατασκοπεία δεδομένων.
Πιστεύεται ότι προήλθε από ένα έργο ανοιχτού κώδικα γνωστό ως SimpleRemoter, το οποίο έχει τις ρίζες του στο Gh0st RAT , το DinodasRAT έχει εξελιχθεί σε ένα πλήρως λειτουργικό κακόβουλο λογισμικό με σημαντικές δυνατότητες. Η νέα έκδοση Linux της απειλής που ανακαλύφθηκε πρόσφατα παρακολουθήθηκε από ορισμένους ερευνητές, όπως ο Linodas.
Έχει εμφανιστεί μια παραλλαγή Linux του DinodasRAT
Τα άτομα πίσω από αυτήν την απειλή επιδεικνύουν υψηλή επάρκεια σε συστήματα Linux. Η απόφασή τους να υποστηρίξουν αυτό το λειτουργικό σύστημα υπερβαίνει την απλή προσαρμογή ενός Trojan απομακρυσμένης πρόσβασης των Windows (RAT) με οδηγίες μεταγλώττισης υπό όρους (#ifdef). Αντιθέτως, περιλαμβάνει ένα εντελώς ξεχωριστό έργο με τη δική του βάση κωδικών, το οποίο πιθανώς διαχειρίζεται μια ξεχωριστή ομάδα ανάπτυξης.
Αυτή η τελευταία επανάληψη του backdoor εισάγει νέες λειτουργίες, συμπεριλαμβανομένης της δυνατότητας δημιουργίας πολλαπλών νημάτων για παρακολούθηση συστήματος, λήψης συμπληρωματικών λειτουργικών μονάδων ικανών να διαταράξουν συγκεκριμένα δυαδικά αρχεία συστήματος και τερματισμού ανενεργών αντίστροφων περιόδων λειτουργίας μετά από περίπου μία ώρα.
Ο πρωταρχικός σκοπός της πρόσθετης μονάδας, που αναφέρεται ως «μονάδα φίλτρου», είναι να χρησιμεύσει ως διακομιστής μεσολάβησης για την εκτέλεση αρχικών δυαδικών αρχείων (π.χ. εντολές όπως «who», «netstat» και «ps») και τον έλεγχο της εξόδου τους . Αυτό επιτρέπει στους φορείς απειλών να εξάγουν πληροφορίες από τον κεντρικό υπολογιστή ενώ αποφεύγουν τον εντοπισμό πιο αποτελεσματικά.
Η πολυπλοκότητα και οι διευρυμένες δυνατότητες που παρατηρούνται σε αυτήν την απειλή υπογραμμίζουν τη συνεχή εστίαση των παραγόντων απειλής στη στόχευση διακομιστών Linux. Τέτοιες επιθέσεις χρησιμεύουν τόσο για τη δημιουργία μιας επίμονης παρουσίας όσο και για να χρησιμεύσουν ως σημείο αναφοράς σε παραβιασμένα δίκτυα. Αυτή η στρατηγική πιθανότατα αξιοποιεί το συγκριτικά χαμηλότερο επίπεδο μέτρων ασφαλείας που συνήθως αναπτύσσονται σε συστήματα Linux, επιτρέποντας στους επιτιθέμενους να εμβαθύνουν τη θέση τους και να λειτουργούν κρυφά για εκτεταμένες περιόδους.
