DinodasRAT
Looduses on esile kerkinud platvormideülene tagauks, mida tuntakse nime all DinodasRAT, mis on suunatud konkreetselt sellistele piirkondadele nagu Hiina, Taiwan, Türgi ja Usbekistan. DinodasRAT, mida tuntakse ka kui XDealer, töötab Linuxi süsteemides ja on sisse ehitatud C++-sse, mis on varustatud mitmesuguste tundlike andmete eraldamiseks ohustatud masinatest.
2023. aasta oktoobris avalikustasid uurijad, et Guyana valitsusasutus oli operatsiooni Jacana küberspionaažialgatuse osana piiramisrõngas, keskendudes selle ähvardava implantaadi Windowsi iteratsiooni juurutamisele. 2024. aasta märtsi lõpus andsid teadlased ülevaate Maa Krahangi nime all tuntud ohutegevuste klastrist, mis on ilmselt alates 2023. aastast üle läinud DinodasRAT-i kasutuselevõtule oma rünnakutes, mis on suunatud paljudele valitsusasutustele kogu maailmas.
Sisukord
Küberkurjategijad on DinodasRATi pidevalt välja töötanud
DinodasRAT-i kasutamine on omistatud erinevatele Hiinaga seotud ohus osalejatele, sealhulgas LuoYule, mis peegeldab taas kord riigi nimel tegutsevate häkkimismeeskondade seas levinud tööriistade jagamist.
Teadlased sattusid 2023. aasta oktoobri alguses juhuslikult pahavara Linuxi versioonile (V10). Seni kogutud tõendid näitavad, et esimene teadaolev variant (V7) pärineb 2021. aasta juulist. Järgmise põlvkonna versioon (V11) on sellest ajast alates avastatud novembris. 2023. aasta.
See on mõeldud peamiselt Red Hatil põhinevate distributsioonide ja Ubuntu Linuxi sihtimiseks. Käivitamisel loob see hostis püsivuse, kasutades SystemV või SystemD käivitusskripte. See võtab perioodiliselt ühendust kaugserveriga TCP või UDP kaudu, et tuua käivitatavad käsud.
DinodasRAT on keerukas oht, millel on palju pealetükkivaid võimalusi
DinodasRAT on varustatud mitmesuguste võimalustega, sealhulgas failitoimingud, Command-and-Control (C2) aadresside muutmine, aktiivsete protsesside tuvastamine ja lõpetamine, shellikäskude täitmine, tagaukse värskendatud versioonide toomine ja isegi enese eemaldamine.
Silumis- ja jälgimistööriistade abil tuvastamise vältimiseks kasutab DinodasRAT kõrvalehoidmise tehnikaid. Sarnaselt Windowsi vastega kasutab see C2-side krüptimiseks Tiny Encryption Algorithm (TEA).
DinodasRAT keskendub peamiselt juurdepääsu loomisele ja säilitamisele Linuxi serverite kaudu, mitte luurele. See töötab tõhusalt, andes operaatorile täieliku kontrolli ohustatud süsteemi üle ning hõlbustades andmete vargust ja spionaaži.
Arvatakse, et DinodasRAT pärineb avatud lähtekoodiga projektist, mida tuntakse SimpleRemoteri nime all ja mille juured on Gh0st RAT , on DinodasRATist saanud täisfunktsionaalne ja märkimisväärsete võimalustega pahavara. Ohu äsja avastatud Linuxi versiooni on jälginud mõned teadlased, näiteks Linodas.
Ilmunud on DinodasRATi Linuxi variant
Selle ohu taga olevad isikud näitavad üles kõrget Linuxi süsteemide oskust. Nende otsus seda operatsioonisüsteemi toetada ei piirdu pelgalt Windows Remote Access Trooja (RAT) kohandamisega tingimuslike kompileerimisdirektiividega (#ifdef). Pigem hõlmab see täiesti eraldiseisvat projekti oma koodibaasiga, mida võib-olla juhib eraldi arendusmeeskond.
See tagaukse viimane iteratsioon tutvustab uusi funktsioone, sealhulgas võimalust luua süsteemi jälgimiseks mitu lõime, alla laadida täiendavaid mooduleid, mis võivad häirida teatud süsteemi binaarfaile, ja lõpetada passiivsed pöördkesta seansid umbes ühe tunni pärast.
Täiendava mooduli, mida nimetatakse filtrimooduliks, peamine eesmärk on olla puhverserver algsete binaarfailide (nt käskude nagu 'who', 'netstat' ja 'ps' käivitamiseks ja nende väljundi juhtimiseks. . See võimaldab ohus osalejatel hostist teavet hankida, hoides samas tuvastamisest tõhusamalt kõrvale.
Selle ohu puhul täheldatud keerukus ja laiendatud võimalused rõhutavad ohus osalejate jätkuvat keskendumist Linuxi serverite sihtimisele. Sellised rünnakud aitavad luua püsivat kohalolekut ja toimida pöördepunktina ohustatud võrkudes. See strateegia kasutab tõenäoliselt ära suhteliselt madalamat turvameetmete taset, mida tavaliselt Linuxi süsteemides kasutatakse, võimaldades ründajatel oma jalgealust tugevdada ja pikemat aega varjatult tegutseda.
