DinodasRAT
En bakdør på tvers av plattformer kjent som DinodasRAT har dukket opp i naturen, spesifikt rettet mot regioner som Kina, Taiwan, Tyrkia og Usbekistan. DinodasRAT, også anerkjent som XDealer, opererer på Linux-systemer og er bygget i C++, som er utstyrt for å trekke ut et mangfold av sensitive data fra kompromitterte maskiner.
I oktober 2023 avslørte etterforskere at et statlig organ i Guyana var under beleiring som en del av et nettspionasjeinitiativ kalt Operation Jacana, med fokus på å distribuere Windows-iterasjonen av dette truende implantatet. I slutten av mars 2024 skisserte forskere en klynge av trusselaktiviteter kjent som Earth Krahang, som tilsynelatende har gått over til å bruke DinodasRAT siden 2023 i sine angrep, rettet mot en rekke statlige enheter over hele verden.
Innholdsfortegnelse
DinodasRAT har blitt kontinuerlig utviklet av nettkriminelle
Bruken av DinodasRAT har blitt tilskrevet ulike trusselaktører i Kina-nexus, inkludert LuoYu, noe som igjen gjenspeiler verktøydelingen som er utbredt blant hackermannskaper identifisert som å handle på vegne av landet.
Forskere snublet over en Linux-versjon av skadelig programvare (V10) tidlig i oktober 2023. Bevis som er samlet så langt viser at den første kjente varianten (V7) dateres tilbake til juli 2021. En neste generasjons versjon (V11) har siden blitt oppdaget i november 2023.
Den er hovedsakelig designet for å målrette Red Hat-baserte distribusjoner og Ubuntu Linux. Ved kjøring etablerer den utholdenhet på verten ved å bruke SystemV eller SystemD oppstartsskript. Den kontakter med jevne mellomrom en ekstern server over TCP eller UDP for å hente kommandoene som skal kjøres.
DinodasRAT er en sofistikert trussel med mange påtrengende muligheter
DinodasRAT er utstyrt med en rekke funksjoner, inkludert filoperasjoner, endring av Command-and-Control (C2)-adresser, identifisering og avslutning av aktive prosesser, utføring av skallkommandoer, henting av oppdaterte versjoner av bakdøren og til og med selvfjerning.
For å unngå oppdagelse ved feilsøking og overvåkingsverktøy, bruker DinodasRAT unnvikelsesteknikker. I likhet med Windows-motparten bruker den Tiny Encryption Algorithm (TEA) for å kryptere C2-kommunikasjon.
DinodasRAT fokuserer først og fremst på å etablere og opprettholde tilgang via Linux-servere i stedet for rekognosering. Den fungerer effektivt, og gir operatøren total kontroll over det kompromitterte systemet og letter datatyveri og spionasje.
DinodasRAT antas å ha sin opprinnelse fra et åpen kildekode-prosjekt kjent som SimpleRemoter, som er forankret i Gh0st RAT , og har utviklet seg til en fullt funksjonell skadelig programvare med betydelige muligheter. Den nyoppdagede Linux-versjonen av trusselen har blitt sporet av noen forskere, som Linodas.
En Linux-variant av DinodasRAT har dukket opp
Personene bak denne trusselen viser høy kompetanse i Linux-systemer. Deres beslutning om å støtte dette operativsystemet går utover bare en tilpasning av en Windows Remote Access Trojan (RAT) med betingede kompileringsdirektiver (#ifdef). Snarere involverer det et helt distinkt prosjekt med sin egen kodebase, muligens administrert av et eget utviklingsteam.
Denne siste iterasjonen av bakdøren introduserer nye funksjoner, inkludert muligheten til å lage flere tråder for systemovervåking, nedlasting av tilleggsmoduler som er i stand til å forstyrre spesifikke systembinærfiler, og avslutte inaktive reverse shell-økter etter omtrent en time.
Hovedformålet med tilleggsmodulen, referert til som 'filtermodulen', er å tjene som en proxy for å utføre originale binære filer (f.eks. kommandoer som 'hvem', 'netstat' og 'ps') og kontrollere utdataene deres. . Dette gjør det mulig for trusselaktører å trekke ut informasjon fra verten samtidig som de unngår oppdagelse mer effektivt.
De sofistikerte og utvidede egenskapene som er observert i denne trusselen, understreker trusselaktørenes pågående fokus på å målrette Linux-servere. Slike angrep tjener både til å etablere en vedvarende tilstedeværelse og for å tjene som et omdreiningspunkt i kompromitterte nettverk. Denne strategien utnytter sannsynligvis det relativt lavere nivået av sikkerhetstiltak som vanligvis brukes på Linux-systemer, noe som gjør det mulig for angripere å utdype fotfeste og operere skjult i lengre perioder.
