DinodasRAT
Међуплатформска позадинска врата позната као ДинодасРАТ појавила се у дивљини, посебно циљајући регионе као што су Кина, Тајван, Турска и Узбекистан. Такође препознат као КСДеалер, ДинодасРАТ ради на Линук системима и изграђен је у Ц++, који је опремљен за издвајање разноликог низа осетљивих података са компромитованих машина.
У октобру 2023, истражитељи су открили да је владино тело у Гвајани било под опсадом као део иницијативе сајбер шпијунаже назване Операција Јацана, фокусирајући се на примену Виндовс итерације овог претећег импланта. Крајем марта 2024., истраживачи су описали групу претњи познатих као Еартх Краханг, која је очигледно прешла на коришћење ДинодасРАТ-а од 2023. у својим нападима, циљајући бројне владине субјекте широм света.
Преглед садржаја
DinodasRAT су континуирано развијали сајбер криминалци
Употреба ДинодасРАТ-а се приписује разним актерима претњи везаних за Кину, укључујући ЛуоИу, што још једном одражава дељење алата које преовладава међу хакерским екипама за које је идентификовано да делују у име земље.
Истраживачи су наишли на Линук верзију малвера (В10) почетком октобра 2023. До сада прикупљени докази показују да прва позната варијанта (В7) датира из јула 2021. Верзија следеће генерације (В11) је од тада откривена у новембру 2023.
Углавном је дизајниран да циља дистрибуције засноване на Ред Хат-у и Убунту Линук. Након извршења, успоставља постојаност на хосту користећи СистемВ или СистемД скрипте за покретање. Повремено контактира удаљени сервер преко ТЦП-а или УДП-а да би преузео команде које треба покренути.
ДинодасРАТ је софистицирана претња са бројним интрузивним могућностима
ДинодасРАТ долази опремљен разним могућностима, укључујући операције са датотекама, промену адреса команде и контроле (Ц2), идентификацију и прекид активних процеса, извршавање команди љуске, преузимање ажурираних верзија бацкдоор-а, па чак и самоуклањање.
Да би се избегло откривање помоћу алата за отклањање грешака и праћење, ДинодасРАТ користи технике избегавања. Слично свом Виндовс колеги, он користи мали алгоритам за шифровање (ТЕА) за шифровање Ц2 комуникација.
ДинодасРАТ се првенствено фокусира на успостављање и одржавање приступа преко Линук сервера, а не на извиђање. Он функционише ефикасно, пружајући оператеру потпуну контролу над компромитованим системом и олакшавајући крађу података и шпијунажу.
За који се верује да потиче из пројекта отвореног кода познатог као СимплеРемотер, који је укорењен у Гх0ст РАТ-у , ДинодасРАТ је еволуирао у потпуно функционалан малвер са значајним могућностима. Неки истраживачи, као што је Линодас, пратили су новооткривену Линук верзију претње.
Појавила се Линук варијанта ДинодасРАТ-а
Појединци који стоје иза ове претње показују високу стручност у Линук системима. Њихова одлука да подрже овај оперативни систем превазилази пуку адаптацију Виндовс Тројанца за даљински приступ (РАТ) са директивама условне компилације (#ифдеф). Уместо тога, укључује потпуно посебан пројекат са сопственом базом кода, којим можда управља посебан развојни тим.
Ова најновија итерација бацкдоор-а уводи нове функционалности, укључујући могућност креирања више нити за надгледање система, преузимање додатних модула који могу да ометају одређене системске бинарне датотеке и прекидање неактивних реверзних сесија љуске након отприлике једног сата.
Примарна сврха додатног модула, који се назива 'филтер модул', је да служи као прокси за извршавање оригиналних бинарних датотека (нпр. команди као што су 'вхо', 'нетстат' и 'пс') и контролу њиховог излаза . Ово омогућава актерима претњи да извуку информације из хоста, док ефикасније избегавају откривање.
Софистицираност и проширене могућности уочене у овој претњи наглашавају стални фокус актера претњи на циљање Линук сервера. Такви напади служе и за успостављање сталног присуства и служе као централна тачка унутар компромитованих мрежа. Ова стратегија вероватно користи релативно нижи ниво безбедносних мера које се обично примењују на Линук системима, омогућавајући нападачима да продубе своје упориште и да раде тајно током дужих периода.
