DinodasRAT

A DinodasRAT néven ismert cross-platform backdoor felbukkant a vadonban, és kifejezetten olyan régiókat céloz meg, mint Kína, Tajvan, Törökország és Üzbegisztán. Az XDealer néven is ismert DinodasRAT Linux rendszereken működik, és C++ nyelven épül fel, amely alkalmas arra, hogy érzékeny adatok sokféle tömbjét kinyerje a feltört gépekről.

2023 októberében a nyomozók felfedték, hogy Guyanában egy kormányzati szerv ostrom alatt állt az Operation Jacana nevű kiberkémkedési kezdeményezés részeként, amely ennek a fenyegető implantátumnak a Windows-iterációjának telepítésére összpontosított. 2024 márciusának végén a kutatók felvázolták az Earth Krahang néven ismert fenyegetési tevékenységek csoportját, amely nyilvánvalóan 2023 óta a DinodasRAT alkalmazására tért át, és számos kormányzati szervezetet céloz meg világszerte.

A DinodasRAT-et folyamatosan fejlesztik a kiberbűnözők

A DinodasRAT használatát a Kínával kapcsolatos fenyegetés különböző szereplőinek tulajdonították, köztük a LuoYu-nak, ami ismét az ország nevében eljáró hackercsapatok körében elterjedt eszközmegosztást tükrözi.

A kutatók 2023. október elején bukkantak rá a kártevő Linux-verziójára (V10). Az eddig összegyűjtött bizonyítékok azt mutatják, hogy az első ismert változat (V7) 2021 júliusából származik. A következő generációs verziót (V11) azóta novemberben észlelték. 2023.

Főleg a Red Hat-alapú disztribúciók és az Ubuntu Linux megcélzására készült. Végrehajtáskor SystemV vagy SystemD indító szkriptek használatával állandóságot biztosít a gazdagépen. Időnként felveszi a kapcsolatot egy távoli szerverrel TCP-n vagy UDP-n keresztül, hogy lekérje a futtatandó parancsokat.

A DinodasRAT egy kifinomult fenyegetés számos behatoló képességgel

A DinodasRAT számos funkcióval rendelkezik, beleértve a fájlműveleteket, a Command-and-Control (C2) címek megváltoztatását, az aktív folyamatok azonosítását és leállítását, a shell-parancsok végrehajtását, a hátsó ajtó frissített verzióinak lekérését és még az öneltávolítást is.

A hibakereső és megfigyelő eszközökkel történő észlelés elkerülése érdekében a DinodasRAT kijátszási technikákat alkalmaz. Windows megfelelőjéhez hasonlóan a Tiny Encryption Algorithm (TEA) segítségével titkosítja a C2 kommunikációt.

A DinodasRAT elsősorban a Linux szervereken keresztüli hozzáférés létrehozására és fenntartására összpontosít, nem pedig a felderítésre. Hatékonyan működik, teljes ellenőrzést biztosítva a kezelőnek a kompromittált rendszer felett, és megkönnyíti az adatlopást és a kémkedést.

Feltételezik, hogy a SimpleRemoter néven ismert nyílt forráskódú projektből származik, amely a Gh0st RAT -ban gyökerezik, és a DinodasRAT egy teljesen működőképes, jelentős képességekkel rendelkező rosszindulatú szoftverré fejlődött. A fenyegetés újonnan felfedezett Linux-verzióját egyes kutatók, például Linodas nyomon követték.

Megjelent a DinodasRAT linuxos változata

A fenyegetés hátterében álló személyek magas szintű jártasságot mutatnak a Linux rendszerekben. Az operációs rendszer támogatására vonatkozó döntésük túlmutat egy Windows Remote Access Trojan (RAT) feltételes fordítási direktívákkal (#ifdef) való egyszerű adaptációján. Inkább egy teljesen különálló projektet foglal magában, saját kódbázissal, amelyet esetleg egy külön fejlesztőcsapat kezel.

A hátsó ajtó legújabb iterációja új funkciókat vezet be, beleértve a több szál létrehozásának lehetőségét a rendszerfigyeléshez, a kiegészítő modulok letöltését, amelyek képesek megzavarni bizonyos rendszerbináris fájlokat, és leállítják az inaktív fordított shell-munkameneteket körülbelül egy óra elteltével.

A szűrőmodulnak nevezett kiegészítő modul elsődleges célja, hogy proxyként szolgáljon az eredeti binárisok végrehajtásához (pl. parancsok, mint a 'who', 'netstat' és 'ps') és kimenetük vezérléséhez. . Ez lehetővé teszi a fenyegetés szereplői számára, hogy információkat nyerjenek ki a gazdagépből, miközben hatékonyabban elkerülik az észlelést.

Az ebben a fenyegetésben megfigyelt kifinomultság és kibővített képességek rávilágítanak arra, hogy a fenyegetés szereplői továbbra is a Linux-kiszolgálókat célozzák meg. Az ilyen támadások mind a folyamatos jelenlét megteremtésére, mind pedig a feltört hálózatokon belüli forgópontként szolgálnak. Ez a stratégia valószínűleg kihasználja a Linux rendszereken általában alkalmazott, viszonylag alacsonyabb szintű biztonsági intézkedéseket, lehetővé téve a támadók számára, hogy elmélyítsék a lábukat, és hosszabb ideig rejtve működjenek.