DinodasRAT
Vo voľnej prírode sa objavili zadné vrátka naprieč platformami známe ako DinodasRAT, konkrétne zamerané na regióny ako Čína, Taiwan, Turecko a Uzbekistan. DinodasRAT, tiež známy ako XDealer, funguje na systémoch Linux a je postavený v jazyku C++, ktorý je vybavený na extrahovanie rôznych citlivých údajov z napadnutých počítačov.
V októbri 2023 vyšetrovatelia odhalili, že vládny orgán v Guyane bol obkľúčený v rámci iniciatívy kybernetickej špionáže nazvanej Operácia Jacana, ktorá sa zameriavala na nasadenie Windowsovej iterácie tohto hrozivého implantátu. Koncom marca 2024 výskumníci načrtli skupinu hrozieb známych ako Earth Krahang, ktorá od roku 2023 zjavne prešla na využívanie DinodasRAT pri svojich útokoch zameraných na početné vládne subjekty po celom svete.
Obsah
DinodasRAT neustále vyvíjali kyberzločinci
Použitie DinodasRAT sa pripisuje rôznym aktérom hroziacim v Číne, vrátane LuoYu, čo opäť odráža zdieľanie nástrojov, ktoré prevláda medzi hackerskými skupinami, ktoré boli identifikované ako konajúce v mene krajiny.
Výskumníci narazili na linuxovú verziu malvéru (V10) začiatkom októbra 2023. Doposiaľ zhromaždené dôkazy ukazujú, že prvý známy variant (V7) pochádza z júla 2021. Verzia novej generácie (V11) bola odvtedy zistená v novembri 2023.
Je určený hlavne na zacielenie na distribúcie založené na Red Hat a Ubuntu Linux. Po spustení vytvorí na hostiteľovi stálosť pomocou spúšťacích skriptov SystemV alebo SystemD. Pravidelne kontaktuje vzdialený server cez TCP alebo UDP, aby získal príkazy, ktoré sa majú spustiť.
DinodasRAT je sofistikovaná hrozba s množstvom rušivých schopností
DinodasRAT je vybavený rôznymi funkciami, vrátane operácií so súbormi, zmeny adries príkazov a ovládania (C2), identifikácie a ukončenia aktívnych procesov, vykonávania príkazov shellu, načítavania aktualizovaných verzií zadných vrátok a dokonca aj samoodstránenia.
Aby sa predišlo detekcii pomocou ladiacich a monitorovacích nástrojov, DinodasRAT využíva únikové techniky. Podobne ako jeho náprotivok v systéme Windows využíva na šifrovanie komunikácie C2 Tiny Encryption Algorithm (TEA).
DinodasRAT sa primárne zameriava skôr na vytváranie a udržiavanie prístupu cez servery Linux než na prieskum. Funguje efektívne, poskytuje operátorovi úplnú kontrolu nad napadnutým systémom a uľahčuje krádež údajov a špionáž.
Predpokladá sa, že DinodasRAT pochádza z open-source projektu známeho ako SimpleRemoter, ktorý má korene v Gh0st RAT , a vyvinul sa v plne funkčný malvér s významnými schopnosťami. Novoobjavenú linuxovú verziu hrozby sledovali niektorí výskumníci, ako napríklad Linodas.
Objavil sa Linuxový variant DinodasRAT
Jednotlivci stojaci za touto hrozbou preukazujú vysokú odbornosť v systémoch Linux. Ich rozhodnutie podporovať tento operačný systém presahuje obyčajnú adaptáciu trójskeho koňa Windows Remote Access (RAT) s direktívami podmienenej kompilácie (#ifdef). Ide skôr o úplne odlišný projekt s vlastnou kódovou základňou, ktorý môže spravovať samostatný vývojový tím.
Táto najnovšia iterácia zadných vrátok predstavuje nové funkcie, vrátane možnosti vytvárať viaceré vlákna na monitorovanie systému, sťahovanie doplnkových modulov schopných narušiť špecifické binárne súbory systému a ukončenie neaktívnych reverzných relácií shellu po približne jednej hodine.
Primárnym účelom dodatočného modulu, označovaného ako „modul filtra“, je slúžiť ako proxy na vykonávanie pôvodných binárnych súborov (napr. príkazov ako „who“, „netstat“ a „ps“) a riadenie ich výstupu. . To umožňuje aktérom hrozby extrahovať informácie z hostiteľa a zároveň sa efektívnejšie vyhýbať detekcii.
Sofistikovanosť a rozšírené možnosti pozorované pri tejto hrozbe podčiarkujú pretrvávajúce zameranie aktérov hrozieb na zacielenie na servery Linux. Takéto útoky slúžia na vytvorenie trvalej prítomnosti a slúžia ako kľúčový bod v ohrozených sieťach. Táto stratégia pravdepodobne ťaží z relatívne nižšej úrovne bezpečnostných opatrení, ktoré sa zvyčajne nasadzujú na linuxových systémoch, čo útočníkom umožňuje prehĺbiť si svoje postavenie a pôsobiť skryto po dlhšiu dobu.
