DinodasRAT
یک درب پشتی کراس پلتفرم به نام DinodasRAT در طبیعت ظاهر شده است که به طور خاص مناطقی مانند چین، تایوان، ترکیه و ازبکستان را هدف قرار داده است. DinodasRAT که به عنوان XDealer نیز شناخته میشود، بر روی سیستمهای لینوکس کار میکند و در C++ ساخته شده است که برای استخراج مجموعهای از دادههای حساس از ماشینهای در معرض خطر مجهز است.
در اکتبر 2023، بازرسان فاش کردند که یک نهاد دولتی در گویان به عنوان بخشی از یک ابتکار جاسوسی سایبری به نام عملیات Jacana تحت محاصره قرار گرفته است که بر روی استقرار تکرار ویندوز این ایمپلنت تهدید کننده تمرکز دارد. در اواخر مارس 2024، محققان مجموعهای از فعالیتهای تهدید به نام Earth Krahang را ترسیم کردند، که ظاهراً از سال 2023 به استفاده از DinodasRAT در حملات خود روی آورده است و نهادهای دولتی متعددی را در سراسر جهان هدف قرار داده است.
فهرست مطالب
DinodasRAT به طور مداوم توسط مجرمان سایبری توسعه یافته است
استفاده از DinodasRAT به بازیگران مختلف تهدیدات مرتبط با چین، از جمله LuoYu نسبت داده شده است، که یک بار دیگر منعکس کننده اشتراک ابزار رایج در میان خدمه هک شناسایی شده است که از طرف این کشور عمل می کنند.
محققان در اوایل اکتبر 2023 با نسخه لینوکس بدافزار (V10) برخورد کردند. شواهد جمعآوریشده نشان میدهد که اولین نوع شناختهشده (V7) به ژوئیه 2021 بازمیگردد. نسخه نسل بعدی (V11) از آن زمان در نوامبر شناسایی شده است. 2023.
این عمدتا برای هدف قرار دادن توزیع های مبتنی بر Red Hat و لینوکس اوبونتو طراحی شده است. پس از اجرا، با استفاده از اسکریپتهای راهاندازی SystemV یا SystemD، ماندگاری را در هاست ایجاد میکند. به طور دورهای با یک سرور راه دور از طریق TCP یا UDP تماس میگیرد تا دستوراتی را که باید اجرا شوند، دریافت کند.
DinodasRAT یک تهدید پیچیده با قابلیت های نفوذی متعدد است
DinodasRAT مجهز به قابلیتهای مختلفی از جمله عملیات فایل، تغییر آدرسهای Command-and-Control (C2)، شناسایی و خاتمه فرآیندهای فعال، اجرای دستورات پوسته، واکشی نسخههای بهروز شده درب پشتی و حتی حذف خودکار است.
برای جلوگیری از شناسایی توسط ابزارهای اشکال زدایی و نظارت، DinodasRAT از تکنیک های فرار استفاده می کند. همانند نسخه ویندوزی خود، از الگوریتم رمزگذاری کوچک (TEA) برای رمزگذاری ارتباطات C2 استفاده می کند.
DinodasRAT در درجه اول بر ایجاد و حفظ دسترسی از طریق سرورهای لینوکس به جای شناسایی تمرکز دارد. این به طور موثر عمل می کند و به اپراتور کنترل کامل بر سیستم در معرض خطر را می دهد و سرقت اطلاعات و جاسوسی را تسهیل می کند.
اعتقاد بر این است که از یک پروژه منبع باز به نام SimpleRemoter که ریشه در Gh0st RAT دارد، DinodasRAT به یک بدافزار کاملاً کاربردی با قابلیت های قابل توجهی تبدیل شده است. نسخه لینوکس تازه کشف شده این تهدید توسط برخی از محققان مانند Linodas ردیابی شده است.
یک نوع لینوکس از DinodasRAT پدیدار شد
افراد پشت این تهدید مهارت بالایی در سیستم های لینوکس نشان می دهند. تصمیم آنها برای پشتیبانی از این سیستم عامل فراتر از انطباق صرف یک تروجان دسترسی از راه دور ویندوز (RAT) با دستورالعمل های کامپایل شرطی (#ifdef) است. بلکه شامل یک پروژه کاملاً متمایز با پایگاه کد خاص خود است که احتمالاً توسط یک تیم توسعه جداگانه مدیریت می شود.
این آخرین تکرار از درپشتی، قابلیتهای جدیدی را معرفی میکند، از جمله توانایی ایجاد رشتههای متعدد برای نظارت بر سیستم، دانلود ماژولهای تکمیلی که قادر به ایجاد اختلال در باینریهای خاص سیستم هستند، و پایان دادن به جلسات پوسته معکوس غیرفعال پس از تقریباً یک ساعت.
هدف اصلی ماژول اضافی، که به عنوان "ماژول فیلتر" نامیده می شود، این است که به عنوان یک پروکسی برای اجرای باینری های اصلی (به عنوان مثال، دستوراتی مانند "who"، "netstat" و "ps") و کنترل خروجی آنها عمل کند. . این به عوامل تهدید امکان می دهد تا اطلاعات را از میزبان استخراج کنند و در عین حال به طور مؤثرتری از شناسایی فرار کنند.
پیچیدگی و قابلیت های گسترده مشاهده شده در این تهدید بر تمرکز مداوم عوامل تهدید بر هدف قرار دادن سرورهای لینوکس تأکید می کند. چنین حملاتی هم برای ایجاد حضور مداوم و هم به عنوان نقطه محوری در شبکه های در معرض خطر خدمت می کنند. این استراتژی احتمالاً از سطح نسبتاً پایینتری از اقدامات امنیتی که معمولاً در سیستمهای لینوکس به کار میرود، استفاده میکند و مهاجمان را قادر میسازد تا جای پای خود را عمیقتر کنند و بهطور مخفیانه برای مدتهای طولانی عمل کنند.