DinodasRAT
Кросс-платформенный бэкдор, известный как DinodasRAT, появился в дикой природе и нацелен конкретно на такие регионы, как Китай, Тайвань, Турция и Узбекистан. DinodasRAT, также известный как XDealer, работает в системах Linux и построен на C++, который способен извлекать разнообразный массив конфиденциальных данных со скомпрометированных машин.
В октябре 2023 года следователи обнаружили, что правительственный орган в Гайане находился в осаде в рамках инициативы по кибершпионажу под названием «Операция Джакана», направленной на развертывание версии Windows этого угрожающего имплантата. В конце марта 2024 года исследователи выделили группу угроз, известную как Earth Krahang, которая, по всей видимости, с 2023 года перешла на использование DinodasRAT в своих атаках, нацеленных на многочисленные правительственные учреждения по всему миру.
Оглавление
DinodasRAT постоянно развивается киберпреступниками
Использование DinodasRAT приписывают различным злоумышленникам, связанным с Китаем, в том числе LuoYu, что еще раз отражает распространение инструментов среди хакерских команд, действующих от имени страны.
Исследователи наткнулись на версию вредоносного ПО для Linux (V10) в начале октября 2023 года. Собранные на данный момент данные показывают, что первый известный вариант (V7) датируется июлем 2021 года. Версия следующего поколения (V11) была обнаружена в ноябре. 2023.
Он в основном предназначен для дистрибутивов на базе Red Hat и Ubuntu Linux. После выполнения он обеспечивает постоянство на хосте с помощью сценариев запуска SystemV или SystemD. Он периодически связывается с удаленным сервером через TCP или UDP, чтобы получить команды для запуска.
DinodasRAT — сложная угроза с многочисленными возможностями вторжения
DinodasRAT оснащен множеством возможностей, включая операции с файлами, изменение адресов управления и контроля (C2), идентификацию и завершение активных процессов, выполнение команд оболочки, получение обновленных версий бэкдора и даже самоудаление.
Чтобы избежать обнаружения средствами отладки и мониторинга, DinodasRAT использует методы уклонения. Подобно своему аналогу для Windows, он использует алгоритм Tiny Encryption Algorithm (TEA) для шифрования сообщений C2.
DinodasRAT в первую очередь фокусируется на установлении и поддержании доступа через серверы Linux, а не на разведке. Он работает эффективно, предоставляя оператору полный контроль над скомпрометированной системой и облегчая кражу данных и шпионаж.
Считается, что DinodasRAT возник из проекта с открытым исходным кодом, известного как SimpleRemoter, основанного на Gh0st RAT , и превратился в полнофункциональную вредоносную программу со значительными возможностями. Недавно обнаруженную версию угрозы для Linux отслеживали некоторые исследователи, в том числе Линодас.
Появился вариант DinodasRAT для Linux
Лица, стоящие за этой угрозой, демонстрируют высокий уровень владения системами Linux. Их решение поддержать эту операционную систему выходит за рамки простой адаптации трояна удаленного доступа Windows (RAT) с директивами условной компиляции (#ifdef). Скорее, это совершенно отдельный проект со своей собственной кодовой базой, возможно, управляемый отдельной командой разработчиков.
В этой последней версии бэкдора представлены новые функциональные возможности, в том числе возможность создавать несколько потоков для мониторинга системы, загружать дополнительные модули, способные нарушать работу определенных двоичных файлов системы, а также завершать неактивные сеансы обратной оболочки примерно через час.
Основная цель дополнительного модуля, называемого «модулем фильтра», — служить прокси-сервером для выполнения исходных двоичных файлов (например, таких команд, как «who», «netstat» и «ps») и управления их выводом. . Это позволяет злоумышленникам извлекать информацию с хоста, более эффективно уклоняясь от обнаружения.
Сложность и расширенные возможности, наблюдаемые в этой угрозе, подчеркивают постоянное внимание злоумышленников к атакам на серверы Linux. Такие атаки служат как для установления постоянного присутствия, так и в качестве опорной точки в скомпрометированных сетях. Эта стратегия, вероятно, использует сравнительно более низкий уровень мер безопасности, обычно применяемых в системах Linux, что позволяет злоумышленникам углублять свои позиции и действовать скрытно в течение длительных периодов времени.
