DinodasRAT

یک درب پشتی کراس پلتفرم به نام DinodasRAT در طبیعت ظاهر شده است که به طور خاص مناطقی مانند چین، تایوان، ترکیه و ازبکستان را هدف قرار داده است. DinodasRAT که به عنوان XDealer نیز شناخته می‌شود، بر روی سیستم‌های لینوکس کار می‌کند و در C++ ساخته شده است که برای استخراج مجموعه‌ای از داده‌های حساس از ماشین‌های در معرض خطر مجهز است.

در اکتبر 2023، بازرسان فاش کردند که یک نهاد دولتی در گویان به عنوان بخشی از یک ابتکار جاسوسی سایبری به نام عملیات Jacana تحت محاصره قرار گرفته است که بر روی استقرار تکرار ویندوز این ایمپلنت تهدید کننده تمرکز دارد. در اواخر مارس 2024، محققان مجموعه‌ای از فعالیت‌های تهدید به نام Earth Krahang را ترسیم کردند، که ظاهراً از سال 2023 به استفاده از DinodasRAT در حملات خود روی آورده است و نهادهای دولتی متعددی را در سراسر جهان هدف قرار داده است.

DinodasRAT به طور مداوم توسط مجرمان سایبری توسعه یافته است

استفاده از DinodasRAT به بازیگران مختلف تهدیدات مرتبط با چین، از جمله LuoYu نسبت داده شده است، که یک بار دیگر منعکس کننده اشتراک ابزار رایج در میان خدمه هک شناسایی شده است که از طرف این کشور عمل می کنند.

محققان در اوایل اکتبر 2023 با نسخه لینوکس بدافزار (V10) برخورد کردند. شواهد جمع‌آوری‌شده نشان می‌دهد که اولین نوع شناخته‌شده (V7) به ژوئیه 2021 بازمی‌گردد. نسخه نسل بعدی (V11) از آن زمان در نوامبر شناسایی شده است. 2023.

این عمدتا برای هدف قرار دادن توزیع های مبتنی بر Red Hat و لینوکس اوبونتو طراحی شده است. پس از اجرا، با استفاده از اسکریپت‌های راه‌اندازی SystemV یا SystemD، ماندگاری را در هاست ایجاد می‌کند. به طور دوره‌ای با یک سرور راه دور از طریق TCP یا UDP تماس می‌گیرد تا دستوراتی را که باید اجرا شوند، دریافت کند.

DinodasRAT یک تهدید پیچیده با قابلیت های نفوذی متعدد است

DinodasRAT مجهز به قابلیت‌های مختلفی از جمله عملیات فایل، تغییر آدرس‌های Command-and-Control (C2)، شناسایی و خاتمه فرآیندهای فعال، اجرای دستورات پوسته، واکشی نسخه‌های به‌روز شده درب پشتی و حتی حذف خودکار است.

برای جلوگیری از شناسایی توسط ابزارهای اشکال زدایی و نظارت، DinodasRAT از تکنیک های فرار استفاده می کند. همانند نسخه ویندوزی خود، از الگوریتم رمزگذاری کوچک (TEA) برای رمزگذاری ارتباطات C2 استفاده می کند.

DinodasRAT در درجه اول بر ایجاد و حفظ دسترسی از طریق سرورهای لینوکس به جای شناسایی تمرکز دارد. این به طور موثر عمل می کند و به اپراتور کنترل کامل بر سیستم در معرض خطر را می دهد و سرقت اطلاعات و جاسوسی را تسهیل می کند.

اعتقاد بر این است که از یک پروژه منبع باز به نام SimpleRemoter که ریشه در Gh0st RAT دارد، DinodasRAT به یک بدافزار کاملاً کاربردی با قابلیت های قابل توجهی تبدیل شده است. نسخه لینوکس تازه کشف شده این تهدید توسط برخی از محققان مانند Linodas ردیابی شده است.

یک نوع لینوکس از DinodasRAT پدیدار شد

افراد پشت این تهدید مهارت بالایی در سیستم های لینوکس نشان می دهند. تصمیم آنها برای پشتیبانی از این سیستم عامل فراتر از انطباق صرف یک تروجان دسترسی از راه دور ویندوز (RAT) با دستورالعمل های کامپایل شرطی (#ifdef) است. بلکه شامل یک پروژه کاملاً متمایز با پایگاه کد خاص خود است که احتمالاً توسط یک تیم توسعه جداگانه مدیریت می شود.

این آخرین تکرار از درپشتی، قابلیت‌های جدیدی را معرفی می‌کند، از جمله توانایی ایجاد رشته‌های متعدد برای نظارت بر سیستم، دانلود ماژول‌های تکمیلی که قادر به ایجاد اختلال در باینری‌های خاص سیستم هستند، و پایان دادن به جلسات پوسته معکوس غیرفعال پس از تقریباً یک ساعت.

هدف اصلی ماژول اضافی، که به عنوان "ماژول فیلتر" نامیده می شود، این است که به عنوان یک پروکسی برای اجرای باینری های اصلی (به عنوان مثال، دستوراتی مانند "who"، "netstat" و "ps") و کنترل خروجی آنها عمل کند. . این به عوامل تهدید امکان می دهد تا اطلاعات را از میزبان استخراج کنند و در عین حال به طور مؤثرتری از شناسایی فرار کنند.

پیچیدگی و قابلیت های گسترده مشاهده شده در این تهدید بر تمرکز مداوم عوامل تهدید بر هدف قرار دادن سرورهای لینوکس تأکید می کند. چنین حملاتی هم برای ایجاد حضور مداوم و هم به عنوان نقطه محوری در شبکه های در معرض خطر خدمت می کنند. این استراتژی احتمالاً از سطح نسبتاً پایین‌تری از اقدامات امنیتی که معمولاً در سیستم‌های لینوکس به کار می‌رود، استفاده می‌کند و مهاجمان را قادر می‌سازد تا جای پای خود را عمیق‌تر کنند و به‌طور مخفیانه برای مدت‌های طولانی عمل کنند.