DinodasRAT

Një derë e pasme ndër-platformë e njohur si DinodasRAT është shfaqur në natyrë, duke synuar veçanërisht rajone si Kina, Tajvani, Turqia dhe Uzbekistani. I njohur gjithashtu si XDealer, DinodasRAT operon në sisteme Linux dhe është ndërtuar në C++, i cili është i pajisur për të nxjerrë një grup të ndryshëm të dhënash të ndjeshme nga makinat e komprometuara.

Në tetor 2023, hetuesit zbuluan se një organ qeveritar në Guajana ishte nën rrethim si pjesë e një nisme për spiunazh kibernetik të quajtur Operacioni Jacana, duke u fokusuar në vendosjen e përsëritjes së Windows të këtij implanti kërcënues. Në fund të marsit 2024, studiuesit përshkruan një grup aktivitetesh kërcënimi të njohur si Earth Krahang, i cili me sa duket ka kaluar në përdorimin e DinodasRAT që nga viti 2023 në sulmet e tij, duke synuar entitete të shumta qeveritare në të gjithë globin.

DinodasRAT është zhvilluar në mënyrë të vazhdueshme nga kriminelët kibernetikë

Përdorimi i DinodasRAT i është atribuar aktorëve të ndryshëm të kërcënimit të Kinës, përfshirë LuoYu, duke pasqyruar edhe një herë ndarjen e mjeteve të përhapura midis ekuipazheve të hakerave të identifikuara se veprojnë në emër të vendit.

Studiuesit gjetën një version Linux të malware (V10) në fillim të tetorit 2023. Provat e mbledhura deri më tani tregojnë se varianti i parë i njohur (V7) daton në korrik 2021. Një version i gjeneratës së ardhshme (V11) është zbuluar që atëherë në nëntor 2023.

Është krijuar kryesisht për të synuar shpërndarjet e bazuara në Red Hat dhe Ubuntu Linux. Pas ekzekutimit, ai vendos qëndrueshmërinë në host duke përdorur skriptet e nisjes SystemV ose SystemD. Ai kontakton periodikisht një server në distancë përmes TCP ose UDP për të marrë komandat që do të ekzekutohen.

DinodasRAT është një kërcënim i sofistikuar me aftësi të shumta ndërhyrëse

DinodasRAT vjen i pajisur me një sërë aftësish, duke përfshirë operacionet e skedarëve, ndryshimin e adresave të komandës dhe kontrollit (C2), identifikimin dhe përfundimin e proceseve aktive, ekzekutimin e komandave të guaskës, marrjen e versioneve të përditësuara të derës së pasme dhe madje edhe vetë-heqjen.

Për të shmangur zbulimin nga mjetet e korrigjimit dhe monitorimit, DinodasRAT përdor teknika evazioni. Ngjashëm me homologun e tij të Windows, ai përdor Algoritmin e Kriptimit të Vogël (TEA) për të enkriptuar komunikimet C2.

DinodasRAT kryesisht fokusohet në vendosjen dhe ruajtjen e aksesit nëpërmjet serverëve Linux dhe jo në zbulimin. Ai funksionon në mënyrë efikase, duke i dhënë operatorit kontroll të plotë mbi sistemin e komprometuar dhe duke lehtësuar vjedhjen dhe spiunazhin e të dhënave.

Besohet se ka origjinën nga një projekt me burim të hapur i njohur si SimpleRemoter, i cili është i rrënjosur në Gh0st RAT , DinodasRAT ka evoluar në një malware plotësisht funksional me aftësi të rëndësishme. Versioni i sapozbuluar Linux i kërcënimit është gjurmuar nga disa studiues, si Linodas.

Një variant Linux i DinodasRAT është shfaqur

Individët që qëndrojnë pas këtij kërcënimi demonstrojnë aftësi të larta në sistemet Linux. Vendimi i tyre për të mbështetur këtë sistem operativ shkon përtej një përshtatjeje të thjeshtë të një Trojan të Windows Remote Access (RAT) me direktiva të përpilimit të kushtëzuar (#ifdef). Përkundrazi, ai përfshin një projekt krejtësisht të veçantë me bazën e vet të kodit, ndoshta të menaxhuar nga një ekip i veçantë zhvillimi.

Ky përsëritje i fundit i backdoor prezanton funksionalitete të reja, duke përfshirë aftësinë për të krijuar fije të shumta për monitorimin e sistemit, shkarkimin e moduleve shtesë të afta për të prishur binarët specifikë të sistemit dhe përfundimin e seancave joaktive të anasjellta të guaskës pas afërsisht një ore.

Qëllimi kryesor i modulit shtesë, i referuar si "moduli i filtrit", është të shërbejë si një përfaqësues për ekzekutimin e binarëve origjinalë (p.sh. komanda të tilla si "who", "netstat" dhe "ps") dhe kontrollin e prodhimit të tyre. . Kjo u mundëson aktorëve të kërcënimit të nxjerrin informacion nga hosti duke shmangur zbulimin në mënyrë më efektive.

Sofistikimi dhe aftësitë e zgjeruara të vërejtura në këtë kërcënim nënvizojnë fokusin e vazhdueshëm të aktorëve të kërcënimit në shënjestrimin e serverëve Linux. Sulme të tilla shërbejnë si për të krijuar një prani të vazhdueshme, ashtu edhe për të shërbyer si një pikë kryesore brenda rrjeteve të komprometuara. Kjo strategji ka të ngjarë të përfitojë nga niveli relativisht më i ulët i masave të sigurisë të vendosura zakonisht në sistemet Linux, duke u mundësuar sulmuesve të thellojnë terrenin e tyre dhe të veprojnë fshehurazi për periudha të gjata.