DinodasRAT
Wieloplatformowy backdoor znany jako DinodasRAT pojawił się na wolności, atakując w szczególności takie regiony, jak Chiny, Tajwan, Turcja i Uzbekistan. Znany również jako XDealer, DinodasRAT działa na systemach Linux i jest zbudowany w języku C++, który jest wyposażony w funkcję wydobywania różnorodnego zestawu wrażliwych danych z zaatakowanych maszyn.
W październiku 2023 r. śledczy ujawnili, że organ rządowy w Gujanie był oblężony w ramach inicjatywy cyberszpiegowskiej zwanej Operacją Jacana, skupiającej się na wdrażaniu wersji tego groźnego implantu w systemie Windows. Pod koniec marca 2024 r. badacze opisali grupę zagrożeń znanych jako Earth Krahang, która najwyraźniej od 2023 r. zaczęła wykorzystywać DinodasRAT do swoich ataków, których celem są liczne podmioty rządowe na całym świecie.
Spis treści
DinodasRAT jest stale rozwijany przez cyberprzestępców
Korzystanie z DinodasRAT przypisuje się różnym podmiotom stwarzającym zagrożenie powiązanym z Chinami, w tym LuoYu, co po raz kolejny odzwierciedla dzielenie się narzędziami powszechne wśród ekip hakerskich zidentyfikowanych jako działające w imieniu kraju.
Badacze natknęli się na linuksową wersję szkodliwego oprogramowania (V10) na początku października 2023 r. Zebrane dotychczas dowody wskazują, że pierwszy znany wariant (V7) pochodzi z lipca 2021 r. Wersja nowej generacji (V11) została wykryta w listopadzie 2023.
Jest przeznaczony głównie do dystrybucji opartych na Red Hat i Ubuntu Linux. Po wykonaniu ustanawia trwałość na hoście przy użyciu skryptów startowych SystemV lub SystemD. Okresowo kontaktuje się ze zdalnym serwerem za pośrednictwem protokołu TCP lub UDP w celu pobrania poleceń do wykonania.
DinodasRAT to wyrafinowane zagrożenie z wieloma inwazyjnymi możliwościami
DinodasRAT jest wyposażony w różnorodne możliwości, w tym operacje na plikach, zmianę adresów Command-and-Control (C2), identyfikowanie i kończenie aktywnych procesów, wykonywanie poleceń powłoki, pobieranie zaktualizowanych wersji backdoora, a nawet samousuwanie.
Aby uniknąć wykrycia poprzez narzędzia do debugowania i monitorowania, DinodasRAT wykorzystuje techniki unikania. Podobnie jak jego odpowiednik w systemie Windows, wykorzystuje algorytm Tiny Encryption Algorithm (TEA) do szyfrowania komunikacji C2.
DinodasRAT koncentruje się przede wszystkim na ustanawianiu i utrzymywaniu dostępu za pośrednictwem serwerów Linux, a nie na rozpoznaniu. Działa wydajnie, zapewniając operatorowi całkowitą kontrolę nad zaatakowanym systemem oraz ułatwiając kradzież danych i szpiegostwo.
Uważa się, że DinodasRAT wywodzi się z projektu open source znanego jako SimpleRemter, którego korzenie znajdują się w Gh0st RAT . DinodasRAT przekształcił się w w pełni funkcjonalne złośliwe oprogramowanie o znacznych możliwościach. Niektórzy badacze, tacy jak Linodas, śledzili nowo odkrytą wersję zagrożenia dla systemu Linux.
Pojawił się Linuxowy wariant DinodasRAT
Osoby stojące za tym zagrożeniem wykazują dużą biegłość w posługiwaniu się systemami Linux. Ich decyzja o obsłudze tego systemu operacyjnego wykracza poza zwykłą adaptację trojana zdalnego dostępu do systemu Windows (RAT) z dyrektywami kompilacji warunkowej (#ifdef). Raczej obejmuje całkowicie odrębny projekt z własną bazą kodu, prawdopodobnie zarządzany przez oddzielny zespół programistów.
Najnowsza wersja backdoora wprowadza nowe funkcjonalności, w tym możliwość tworzenia wielu wątków do monitorowania systemu, pobierania dodatkowych modułów zdolnych do zakłócania określonych plików binarnych systemu i kończenia nieaktywnych sesji powłoki zwrotnej po około godzinie.
Podstawowym celem dodatkowego modułu, zwanego „modułem filtrującym”, jest służenie jako serwer proxy do wykonywania oryginalnych plików binarnych (np. poleceń takich jak „who”, „netstat” i „ps”) i kontrolowanie ich wyników . Umożliwia to podmiotom zagrażającym wydobywanie informacji z hosta przy jednoczesnym skuteczniejszym unikaniu wykrycia.
Zaawansowanie i rozszerzone możliwości zaobserwowane w tym zagrożeniu podkreślają ciągłe skupianie się podmiotów zagrażających na atakowaniu serwerów Linux. Takie ataki służą zarówno do ustanowienia trwałej obecności, jak i służą jako punkt zwrotny w zaatakowanych sieciach. Strategia ta prawdopodobnie wykorzystuje stosunkowo niższy poziom środków bezpieczeństwa zwykle wdrażanych w systemach Linux, umożliwiając atakującym pogłębienie swojej pozycji i tajne działanie przez dłuższy czas.
