DinodasRAT
Međuplatformski backdoor poznat kao DinodasRAT pojavio se u divljini, posebno ciljajući na regije poput Kine, Tajvana, Turske i Uzbekistana. Također prepoznat kao XDealer, DinodasRAT radi na Linux sustavima i ugrađen je u C++, koji je opremljen za izdvajanje raznolikog niza osjetljivih podataka s kompromitiranih strojeva.
U listopadu 2023. istražitelji su otkrili da je vladino tijelo u Gvajani bilo pod opsadom u sklopu inicijative za kibernetičku špijunažu nazvane Operacija Jacana, s fokusom na implementaciju Windows iteracije ovog prijetećeg implantata. Krajem ožujka 2024. istraživači su ocrtali skupinu prijetnji poznatih kao Earth Krahang, koja je očito prešla na korištenje DinodasRAT-a od 2023. u svojim napadima, ciljajući na brojne vladine entitete diljem svijeta.
Sadržaj
DinodasRAT kontinuirano razvijaju kibernetički kriminalci
Korištenje DinodasRAT-a pripisuje se različitim akterima prijetnje Kine-Nexus, uključujući LuoYu, što još jednom odražava dijeljenje alata koje prevladava među hakerskim ekipama za koje je identificirano da djeluju u ime zemlje.
Istraživači su naišli na Linux verziju zlonamjernog softvera (V10) početkom listopada 2023. Do sada prikupljeni dokazi pokazuju da prva poznata varijanta (V7) datira iz srpnja 2021. Verzija sljedeće generacije (V11) otkrivena je u studenom 2023.
Uglavnom je dizajniran za ciljanje distribucija temeljenih na Red Hatu i Ubuntu Linuxu. Nakon izvođenja, uspostavlja postojanost na glavnom računalu pomoću skripti za pokretanje SystemV ili SystemD. Povremeno kontaktira udaljeni poslužitelj preko TCP-a ili UDP-a kako bi dohvatio naredbe koje treba pokrenuti.
DinodasRAT je sofisticirana prijetnja s brojnim intruzivnim mogućnostima
DinodasRAT dolazi opremljen raznim mogućnostima, uključujući operacije datoteka, mijenjanje Command-and-Control (C2) adresa, identificiranje i prekidanje aktivnih procesa, izvršavanje naredbi ljuske, dohvaćanje ažuriranih verzija backdoor-a, pa čak i samouklanjanje.
Kako bi se izbjeglo otkrivanje pomoću alata za otklanjanje pogrešaka i nadzora, DinodasRAT koristi tehnike izbjegavanja. Slično svom Windows parnjaku, koristi Tiny Encryption Algorithm (TEA) za šifriranje C2 komunikacije.
DinodasRAT se prvenstveno fokusira na uspostavljanje i održavanje pristupa putem Linux poslužitelja, a ne na izviđanje. Djeluje učinkovito, pružajući operateru potpunu kontrolu nad kompromitiranim sustavom i olakšavajući krađu podataka i špijunažu.
Vjeruje se da je nastao iz projekta otvorenog koda poznatog kao SimpleRemoter, koji je ukorijenjen u Gh0st RAT-u , DinodasRAT se razvio u potpuno funkcionalan malware sa značajnim mogućnostima. Novootkrivenu Linux verziju prijetnje pratili su neki istraživači, poput Linodasa.
Pojavila se Linux varijanta DinodasRAT-a
Pojedinci koji stoje iza ove prijetnje pokazuju visoku stručnost u Linux sustavima. Njihova odluka da podrže ovaj operativni sustav nadilazi puku prilagodbu Windows Trojanca za udaljeni pristup (RAT) s direktivama uvjetne kompilacije (#ifdef). Umjesto toga, uključuje potpuno poseban projekt s vlastitom bazom koda, kojom vjerojatno upravlja odvojeni razvojni tim.
Ova posljednja iteracija backdoor-a uvodi nove funkcionalnosti, uključujući mogućnost stvaranja višestrukih niti za nadzor sustava, preuzimanje dodatnih modula koji mogu poremetiti određene sistemske binarne datoteke i prekidanje neaktivnih obrnutih sesija ljuske nakon približno jednog sata.
Primarna svrha dodatnog modula, koji se naziva 'modul filtra', jest služiti kao posrednik za izvršavanje izvornih binarnih datoteka (npr. naredbi poput 'who',' 'netstat' i 'ps') i kontrolirati njihov izlaz . To akterima prijetnji omogućuje izvlačenje informacija iz glavnog računala dok učinkovitije izbjegava otkrivanje.
Sofisticiranost i proširene mogućnosti uočene u ovoj prijetnji naglašavaju stalni fokus aktera prijetnji na ciljanje Linux poslužitelja. Takvi napadi služe i za uspostavljanje postojane prisutnosti i služe kao središnja točka unutar ugroženih mreža. Ova strategija vjerojatno kapitalizira na relativno nižoj razini sigurnosnih mjera koje se obično primjenjuju na Linux sustavima, omogućujući napadačima da prodube svoje uporište i tajno djeluju duže vrijeme.
