DinodasRAT
Een platformonafhankelijke achterdeur, bekend als DinodasRAT, is in het wild opgedoken en richt zich specifiek op regio's als China, Taiwan, Turkije en Oezbekistan. DinodasRAT, ook bekend als XDealer, werkt op Linux-systemen en is gebouwd in C++, dat is uitgerust om een breed scala aan gevoelige gegevens uit gecompromitteerde machines te extraheren.
In oktober 2023 maakten onderzoekers bekend dat een overheidsorgaan in Guyana werd belegerd als onderdeel van een cyberspionage-initiatief genaamd Operatie Jacana, gericht op het inzetten van de Windows-versie van dit bedreigende implantaat. Eind maart 2024 schetsten onderzoekers een cluster van dreigingsactiviteiten die bekend staan als Earth Krahang, die blijkbaar sinds 2023 zijn overgegaan op het gebruik van DinodasRAT bij zijn aanvallen, gericht op talloze overheidsinstanties over de hele wereld.
Inhoudsopgave
DinodasRAT is voortdurend ontwikkeld door cybercriminelen
Het gebruik van DinodasRAT wordt toegeschreven aan verschillende Chinese dreigingsactoren, waaronder LuoYu, wat opnieuw een weerspiegeling is van het delen van tools onder hackers waarvan is vastgesteld dat ze namens het land handelen.
Onderzoekers stuitten begin oktober 2023 op een Linux-versie van de malware (V10). Uit tot nu toe verzameld bewijsmateriaal blijkt dat de eerste bekende variant (V7) dateert van juli 2021. Een volgende generatie versie (V11) is sindsdien in november gedetecteerd. 2023.
Het is voornamelijk ontworpen om zich te richten op op Red Hat gebaseerde distributies en Ubuntu Linux. Bij uitvoering wordt persistentie op de host tot stand gebracht met behulp van SystemV- of SystemD-opstartscripts. Het maakt periodiek contact met een externe server via TCP of UDP om de uit te voeren opdrachten op te halen.
DinodasRAT is een geavanceerde bedreiging met talrijke opdringerige mogelijkheden
DinodasRAT is uitgerust met een verscheidenheid aan mogelijkheden, waaronder bestandsbewerkingen, het wijzigen van Command-and-Control (C2)-adressen, het identificeren en beëindigen van actieve processen, het uitvoeren van shell-opdrachten, het ophalen van bijgewerkte versies van de achterdeur en zelfs zelfverwijdering.
Om detectie door foutopsporings- en monitoringtools te voorkomen, maakt DinodasRAT gebruik van ontwijkingstechnieken. Net als zijn Windows-tegenhanger gebruikt het het Tiny Encryption Algorithm (TEA) om C2-communicatie te coderen.
DinodasRAT richt zich primair op het tot stand brengen en onderhouden van toegang via Linux-servers in plaats van op verkenning. Het werkt efficiënt, waardoor de operator volledige controle heeft over het gecompromitteerde systeem en gegevensdiefstal en spionage wordt vergemakkelijkt.
DinodasRAT is vermoedelijk afkomstig van een open-sourceproject dat bekend staat als SimpleRemoter en is geworteld in de Gh0st RAT . Het is geëvolueerd naar een volledig functionele malware met aanzienlijke mogelijkheden. De nieuw ontdekte Linux-versie van de dreiging is gevolgd door sommige onderzoekers, zoals Linodas.
Er is een Linux-variant van DinodasRAT opgedoken
De individuen achter deze dreiging tonen een hoge vaardigheid in Linux-systemen. Hun beslissing om dit besturingssysteem te ondersteunen gaat verder dan louter een aanpassing van een Windows Remote Access Trojan (RAT) met voorwaardelijke compilatie-instructies (#ifdef). Het gaat veeleer om een geheel afzonderlijk project met een eigen codebase, mogelijk beheerd door een afzonderlijk ontwikkelingsteam.
Deze nieuwste versie van de achterdeur introduceert nieuwe functionaliteiten, waaronder de mogelijkheid om meerdere threads te creëren voor systeemmonitoring, het downloaden van aanvullende modules die specifieke systeembinaire bestanden kunnen verstoren en het beëindigen van inactieve reverse shell-sessies na ongeveer een uur.
Het primaire doel van de aanvullende module, ook wel de 'filtermodule' genoemd, is om te dienen als proxy voor het uitvoeren van originele binaire bestanden (bijvoorbeeld opdrachten zoals 'who', 'netstat' en 'ps') en het controleren van de uitvoer ervan. . Hierdoor kunnen bedreigingsactoren informatie uit de host halen en tegelijkertijd detectie effectiever omzeilen.
De verfijning en uitgebreide mogelijkheden die bij deze dreiging worden waargenomen, onderstrepen de voortdurende focus van bedreigingsactoren op het aanvallen van Linux-servers. Dergelijke aanvallen dienen zowel om een blijvende aanwezigheid te vestigen als om als scharnierpunt binnen gecompromitteerde netwerken te dienen. Deze strategie profiteert waarschijnlijk van het relatief lagere niveau van beveiligingsmaatregelen dat doorgaans op Linux-systemen wordt toegepast, waardoor aanvallers hun positie kunnen verdiepen en gedurende langere perioden heimelijk kunnen opereren.
