DinodasRAT
Backdoor ឆ្លងវេទិកាដែលគេស្គាល់ថាជា DinodasRAT បានកើតឡើងនៅក្នុងព្រៃ ជាពិសេសផ្តោតលើតំបន់ដូចជាប្រទេសចិន តៃវ៉ាន់ តួកគី និងអ៊ូសបេគីស្ថាន។ ត្រូវបានទទួលស្គាល់ថាជា XDealer ផងដែរ DinodasRAT ដំណើរការលើប្រព័ន្ធលីនុច ហើយត្រូវបានបង្កើតឡើងនៅក្នុង C++ ដែលត្រូវបានបំពាក់ដើម្បីទាញយកអារេចម្រុះនៃទិន្នន័យរសើបចេញពីម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។
នៅខែតុលា ឆ្នាំ 2023 អ្នកស៊ើបអង្កេតបានបង្ហាញថា ស្ថាប័នរដ្ឋាភិបាលមួយក្នុងប្រទេស Guyana ស្ថិតនៅក្រោមការឡោមព័ទ្ធជាផ្នែកមួយនៃគំនិតផ្តួចផ្តើមចារកម្មតាមអ៊ីនធឺណិតហៅថា Operation Jacana ដោយផ្តោតលើការដាក់ពង្រាយប្រព័ន្ធប្រតិបត្តិការ Windows ឡើងវិញនៃការដាក់បញ្ចូលការគំរាមកំហែងនេះ។ នៅចុងខែមីនាឆ្នាំ 2024 អ្នកស្រាវជ្រាវបានគូសបញ្ជាក់ពីក្រុមនៃសកម្មភាពគំរាមកំហែងដែលគេស្គាល់ថា Earth Krahang ដែលជាក់ស្តែងបានផ្លាស់ប្តូរទៅប្រើប្រាស់ក្រុមហ៊ុន DinodasRAT ចាប់តាំងពីឆ្នាំ 2023 ក្នុងការវាយលុករបស់ខ្លួន ដោយផ្តោតលើអង្គភាពរដ្ឋាភិបាលជាច្រើននៅទូទាំងពិភពលោក។
តារាងមាតិកា
DinodasRAT ត្រូវបានបង្កើតឡើងជាបន្តបន្ទាប់ដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត
ការប្រើប្រាស់ DinodasRAT ត្រូវបានគេសន្មតថាជាតួអង្គគម្រាមកំហែងនៃបណ្តាញទំនាក់ទំនងរបស់ប្រទេសចិន រួមទាំង LuoYu ជាថ្មីម្តងទៀត ដែលឆ្លុះបញ្ចាំងពីការចែករំលែកឧបករណ៍ដែលរីករាលដាលក្នុងចំណោមក្រុមអ្នកលួចចូលដែលត្រូវបានគេកំណត់ថាជាអ្នកធ្វើសកម្មភាពក្នុងនាមប្រទេស។
អ្នកស្រាវជ្រាវបានជំពប់ដួលលើកំណែ Linux នៃមេរោគ (V10) នៅដើមខែតុលា ឆ្នាំ 2023។ ភ័ស្តុតាងដែលបានប្រមូលមកទល់ពេលនេះបង្ហាញថា វ៉ារ្យ៉ង់ដែលគេស្គាល់ដំបូង (V7) មានតាំងពីខែកក្កដា ឆ្នាំ 2021។ កំណែជំនាន់ក្រោយ (V11) ត្រូវបានគេរកឃើញតាំងពីខែវិច្ឆិកា ២០២៣។
វាត្រូវបានរចនាឡើងជាចម្បងដើម្បីកំណត់គោលដៅចែកចាយដែលមានមូលដ្ឋានលើ Red Hat និង Ubuntu Linux ។ នៅពេលប្រតិបត្តិ វាបង្កើតការតស៊ូនៅលើម៉ាស៊ីនដោយប្រើ SystemV ឬ SystemD startup scripts។ ជាទៀងទាត់វាទាក់ទងម៉ាស៊ីនមេពីចម្ងាយតាមរយៈ TCP ឬ UDP ដើម្បីទៅយកពាក្យបញ្ជាដែលត្រូវដំណើរការ។
DinodasRAT គឺជាការគំរាមកំហែងស្មុគ្រស្មាញដែលមានសមត្ថភាពរំខានជាច្រើន
DinodasRAT ភ្ជាប់មកជាមួយនូវសមត្ថភាពជាច្រើន រួមទាំងប្រតិបត្តិការឯកសារ ការផ្លាស់ប្តូរអាសយដ្ឋាន Command-and-Control (C2) ការកំណត់អត្តសញ្ញាណ និងបញ្ចប់ដំណើរការសកម្ម ប្រតិបត្តិពាក្យបញ្ជាសែល ទាញយកកំណែអាប់ដេតនៃ backdoor និងសូម្បីតែការដកចេញដោយខ្លួនឯង។
ដើម្បីជៀសវាងការរកឃើញដោយការបំបាត់កំហុស និងឧបករណ៍ត្រួតពិនិត្យ DinodasRAT ប្រើបច្ចេកទេសគេច។ ស្រដៀងទៅនឹងសមភាគី Windows របស់វាដែរ វាប្រើប្រាស់ Tiny Encryption Algorithm (TEA) ដើម្បីអ៊ិនគ្រីបទំនាក់ទំនង C2 ។
DinodasRAT ផ្តោតជាចម្បងលើការបង្កើត និងបន្តការចូលប្រើតាមរយៈម៉ាស៊ីនមេលីនុច ជាជាងការឈ្លបយកការណ៍។ វាដំណើរការប្រកបដោយប្រសិទ្ធភាព ដោយផ្តល់ឱ្យប្រតិបត្តិករគ្រប់គ្រងសរុបលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល និងសម្របសម្រួលការលួចទិន្នន័យ និងចារកម្ម។
ត្រូវបានគេជឿថាមានប្រភពមកពីគម្រោងប្រភពបើកចំហដែលត្រូវបានគេស្គាល់ថា SimpleRemoter ដែលត្រូវបានចាក់ឫសនៅក្នុង Gh0st RAT នោះ DinodasRAT បានវិវត្តទៅជាមេរោគដែលមានមុខងារពេញលេញជាមួយនឹងសមត្ថភាពសំខាន់ៗ។ កំណែលីនុចដែលទើបរកឃើញថ្មីនៃការគំរាមកំហែងត្រូវបានតាមដានដោយអ្នកស្រាវជ្រាវមួយចំនួនដូចជា Linodas ជាដើម។
វ៉ារ្យ៉ង់លីនុចនៃ DinodasRAT បានលេចចេញមក
បុគ្គលដែលនៅពីក្រោយការគំរាមកំហែងនេះបង្ហាញពីជំនាញខ្ពស់នៅក្នុងប្រព័ន្ធលីនុច។ ការសម្រេចចិត្តរបស់ពួកគេក្នុងការគាំទ្រប្រព័ន្ធប្រតិបត្តិការនេះលើសពីការសម្របខ្លួនរបស់ Windows Remote Access Trojan (RAT) ជាមួយនឹងការណែនាំចងក្រងតាមលក្ខខណ្ឌ (#ifdef) ។ ផ្ទុយទៅវិញ វាពាក់ព័ន្ធនឹងគម្រោងខុសគ្នាទាំងស្រុងជាមួយនឹងមូលដ្ឋានកូដផ្ទាល់ខ្លួន ដែលអាចគ្រប់គ្រងដោយក្រុមអភិវឌ្ឍន៍ដាច់ដោយឡែក។
ការធ្វើឡើងវិញចុងក្រោយបង្អស់នៃ backdoor នេះណែនាំមុខងារថ្មី រួមទាំងសមត្ថភាពក្នុងការបង្កើត threads ជាច្រើនសម្រាប់ការត្រួតពិនិត្យប្រព័ន្ធ ការទាញយកម៉ូឌុលបន្ថែមដែលមានសមត្ថភាពរំខានប្រព័ន្ធគោលពីរជាក់លាក់ និងការបញ្ចប់វគ្គ reverse shell ដែលអសកម្មបន្ទាប់ពីប្រហែលមួយម៉ោង។
គោលបំណងចម្បងនៃម៉ូឌុលបន្ថែម ដែលហៅថា 'ម៉ូឌុលតម្រង' គឺដើម្បីបម្រើជាប្រូកស៊ីសម្រាប់ដំណើរការប្រព័ន្ធគោលពីរដើម (ឧ. ពាក្យបញ្ជាដូចជា 'who,' 'netstat,' និង 'ps') និងគ្រប់គ្រងលទ្ធផលរបស់ពួកគេ . នេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងទាញយកព័ត៌មានពីម៉ាស៊ីនខណៈពេលដែលគេចពីការរកឃើញកាន់តែមានប្រសិទ្ធភាព។
ភាពទំនើប និងសមត្ថភាពពង្រីកដែលសង្កេតឃើញនៅក្នុងការគំរាមកំហែងនេះបញ្ជាក់ពីការផ្តោតជាបន្តរបស់តួអង្គគំរាមកំហែងលើការកំណត់គោលដៅម៉ាស៊ីនមេលីនុច។ ការវាយប្រហារបែបនេះបម្រើទាំងពីរដើម្បីបង្កើតវត្តមានជាប់លាប់ និងដើម្បីបម្រើជាចំណុចស្នូលនៅក្នុងបណ្តាញដែលត្រូវបានសម្របសម្រួល។ យុទ្ធសាស្រ្តនេះទំនងជាប្រើមូលធនប័ត្រលើកម្រិតទាបជាងប្រៀបធៀបនៃវិធានការសុវត្ថិភាពដែលជាធម្មតាដាក់ឱ្យប្រើប្រាស់នៅលើប្រព័ន្ធលីនុច ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារពង្រឹងមូលដ្ឋានរបស់ពួកគេឱ្យកាន់តែស៊ីជម្រៅ និងដំណើរការដោយសម្ងាត់សម្រាប់រយៈពេលបន្ត។
