DinodasRAT
Um backdoor de multiplataforma conhecido como DinodasRAT está à solta, visando especificamente regiões como China, Taiwan, Turquia e Uzbequistão. Também reconhecido como XDealer, o DinodasRAT opera em sistemas Linux e é construído em C++, equipado para extrair uma gama diversificada de dados confidenciais de máquinas comprometidas.
Em Outubro de 2023, os investigadores revelaram que um órgão governamental na Guiana estava sitiado como parte de uma iniciativa de espionagem cibernética denominada Operação Jacana, focada na implantação da iteração Windows deste implante ameaçador. No final de março de 2024, os investigadores delinearam um conjunto de atividades de ameaça conhecidas como Earth Krahang, que aparentemente transitou para o emprego do DinodasRAT desde 2023 nos seus ataques, visando inúmeras entidades governamentais em todo o mundo.
Índice
O DinodasRAT tem sido Continuamente Desenvolvido pelos Cibercriminosos
O uso do DinodasRAT foi atribuído a vários atores de ameaças do nexo da China, incluindo LuoYu, refletindo mais uma vez o compartilhamento de ferramentas predominante entre equipes de hackers identificadas como agindo em nome do país.
Os pesquisadores encontraram uma versão Linux do malware (V10) no início de outubro de 2023. As evidências coletadas até agora mostram que a primeira variante conhecida (V7) remonta a julho de 2021. Uma versão de próxima geração (V11) foi detectada em novembro. 2023.
Ele foi projetado principalmente para distribuições baseadas em Red Hat e Ubuntu Linux. Após a execução, ele estabelece persistência no host usando scripts de inicialização SystemV ou SystemD. Ele entra em contato periodicamente com um servidor remoto por TCP ou UDP para buscar os comandos a serem executados.
O DinodasRAT é uma Ameaça Sofisticada com Inúmeras Capacidades Intrusivas
O DinodasRAT vem equipado com uma variedade de recursos, incluindo operações de arquivo, alteração de endereços de comando e controle (C2), identificação e encerramento de processos ativos, execução de comandos shell, busca de versões atualizadas do backdoor e até auto-remoção.
Para evitar a detecção por ferramentas de depuração e monitoramento, o DinodasRAT emprega técnicas de evasão. Semelhante ao seu equivalente do Windows, ele utiliza o Tiny Encryption Algorithm (TEA) para criptografar as comunicações C2.
O DinodasRAT se concentra principalmente em estabelecer e manter o acesso através de servidores Linux, em vez de reconhecimento. Opera de forma eficiente, garantindo ao operador controle total sobre o sistema comprometido e facilitando o roubo de dados e a espionagem.
Acredita-se que tenha se originado de um projeto de código aberto conhecido como SimpleRemoter, que está enraizado no Gh0st RAT, o DinodasRAT evoluiu para um malware totalmente funcional com capacidades significativas. A versão Linux recém-descoberta da ameaça foi rastreada por alguns pesquisadores, como Linodas.
Surgiu uma Variante Linux do DinodasRAT
Os indivíduos por trás desta ameaça demonstram alta proficiência em sistemas Linux. A decisão deles de oferecer suporte a este sistema operacional vai além de uma mera adaptação de um Trojan de Acesso Remoto (RAT) do Windows com diretivas de compilação condicional (#ifdef). Em vez disso, envolve um projeto totalmente distinto com sua própria base de código, possivelmente gerenciado por uma equipe de desenvolvimento separada.
Esta última iteração do backdoor introduz novas funcionalidades, incluindo a capacidade de criar vários threads para monitoramento do sistema, baixar módulos suplementares capazes de interromper binários específicos do sistema e encerrar sessões inativas de shell reverso após aproximadamente uma hora.
O objetivo principal do módulo adicional, conhecido como 'módulo de filtro', é servir como um proxy para executar binários originais (por exemplo, comandos como 'who', 'netstat' e 'ps') e controlar sua saída . Isso permite que os agentes de ameaças extraiam informações do host enquanto evitam a detecção de forma mais eficaz.
A sofisticação e os recursos expandidos observados nesta ameaça ressaltam o foco contínuo dos atores da ameaça em atingir servidores Linux. Esses ataques servem tanto para estabelecer uma presença persistente como para servir como ponto de articulação nas redes comprometidas. Esta estratégia provavelmente capitaliza o nível comparativamente mais baixo de medidas de segurança normalmente implementadas em sistemas Linux, permitindo que os atacantes aprofundem a sua posição e operem secretamente durante longos períodos.
