DinodasRAT

דלת אחורית חוצת פלטפורמות הידועה בשם DinodasRAT צצה בטבע, מכוונת במיוחד לאזורים כמו סין, טייוואן, טורקיה ואוזבקיסטן. DinodasRAT, המוכר גם כ-XDealer, פועל על מערכות לינוקס ומובנה ב-C++, המצויד כדי לחלץ מערך מגוון של נתונים רגישים ממכונות שנפגעו.

באוקטובר 2023, החוקרים חשפו שגוף ממשלתי בגיאנה נמצא במצור כחלק מיוזמת ריגול סייבר שנקראת מבצע ג'קאנה, תוך התמקדות בפריסת האיטרציה של Windows של השתל המאיים הזה. בסוף מרץ 2024, החוקרים תיארו מקבץ של פעילויות איומים המכונה Earth Krahang, אשר ככל הנראה עבר להעסיק את DinodasRAT מאז 2023 בהתקפותיה, המכוונות לגורמים ממשלתיים רבים ברחבי העולם.

DinodasRAT פותחה ברציפות על ידי פושעי סייבר

השימוש ב- DinodasRAT יוחס לגורמי איומים שונים הקשורים לסין, כולל LuoYu, ומשקף שוב את שיתוף הכלים הרווח בין צוותי הפריצה שזוהו כפועלים מטעם המדינה.

חוקרים נתקלו בגרסת לינוקס של התוכנה הזדונית (V10) בתחילת אוקטובר 2023. עדויות שנאספו עד כה מראות כי הגרסה הידועה הראשונה (V7) מתחילה ביולי 2021. גרסה של הדור הבא (V11) זוהתה מאז בנובמבר 2023.

זה נועד בעיקר להתמקד בהפצות מבוססות Red Hat וב-Ubuntu Linux. עם הביצוע, הוא מבסס התמדה על המארח באמצעות סקריפטים להפעלה של SystemV או SystemD. זה יוצר מעת לעת קשר עם שרת מרוחק דרך TCP או UDP כדי להביא את הפקודות שיש להפעיל.

DinodasRAT הוא איום מתוחכם עם יכולות פולשניות רבות

DinodasRAT מגיע מצויד במגוון של יכולות, כולל פעולות קבצים, שינוי כתובות Command-and-Control (C2), זיהוי וסיום תהליכים פעילים, ביצוע פקודות מעטפת, שליפת גרסאות מעודכנות של הדלת האחורית, ואפילו הסרה עצמית.

כדי להימנע מזיהוי על ידי כלים לניפוי באגים ולניטור, DinodasRAT משתמשת בטכניקות התחמקות. בדומה למקבילו ל-Windows, הוא משתמש באלגוריתם ההצפנה הזעיר (TEA) כדי להצפין תקשורת C2.

DinodasRAT מתמקדת בעיקר בהקמת ושימור גישה דרך שרתי לינוקס ולא בסיור. הוא פועל ביעילות, מעניק למפעיל שליטה מוחלטת על המערכת שנפגעה ומקל על גניבת מידע וריגול.

מאמינים שמקורו בפרויקט קוד פתוח המכונה SimpleRemoter, המושרש ב- Gh0st RAT , DinodasRAT התפתח לתוכנה זדונית מתפקדת במלואה עם יכולות משמעותיות. גרסת הלינוקס שהתגלתה לאחרונה של האיום עוקבה על ידי כמה חוקרים, כמו לינודס.

הופיעה גרסת לינוקס של DinodasRAT

האנשים שמאחורי האיום הזה מפגינים מיומנות גבוהה במערכות לינוקס. ההחלטה שלהם לתמוך במערכת הפעלה זו חורגת מהסתגלות גרידא של טרויאני גישה מרחוק של Windows (RAT) עם הנחיות קומפילציה מותנות (#ifdef). במקום זאת, זה כרוך בפרויקט שונה לחלוטין עם בסיס קוד משלו, אולי מנוהל על ידי צוות פיתוח נפרד.

איטרציה אחרונה זו של הדלת האחורית מציגה פונקציונליות חדשות, כולל היכולת ליצור שרשורים מרובים לניטור מערכת, הורדת מודולים משלימים המסוגלים לשבש קבצים בינאריים ספציפיים של המערכת, וסיום הפעלות של מעטפת הפוכה לא פעילות לאחר כשעה.

המטרה העיקרית של המודול הנוסף, המכונה 'מודול הסינון', היא לשמש כפרוקסי לביצוע קבצים בינאריים מקוריים (למשל, פקודות כגון 'מי', 'netstat' ו-'ps') ושליטה בפלט שלהם. . זה מאפשר לשחקני איומים לחלץ מידע מהמארח תוך התחמקות מזיהוי בצורה יעילה יותר.

התחכום והיכולות המורחבות שנצפו באיום זה מדגישים את ההתמקדות המתמשכת של גורמי האיומים במיקוד לשרתי לינוקס. התקפות כאלה משמשות הן לביסוס נוכחות מתמשכת והן לשמש כנקודת ציר בתוך רשתות שנפגעו. אסטרטגיה זו מנצלת ככל הנראה את הרמה הנמוכה יחסית של אמצעי אבטחה הנפרסים בדרך כלל במערכות לינוקס, ומאפשרת לתוקפים להעמיק את אחיזתם ולפעול באופן סמוי לתקופות ממושכות.