DinodasRAT
En plattformsoberoende bakdörr känd som DinodasRAT har dykt upp i naturen och riktar sig specifikt till regioner som Kina, Taiwan, Turkiet och Uzbekistan. DinodasRAT, även erkänd som XDealer, fungerar på Linux-system och är inbyggd i C++, som är utrustad för att extrahera en mängd olika känsliga data från komprometterade maskiner.
I oktober 2023 avslöjade utredare att ett statligt organ i Guyana var under belägring som en del av ett cyberspionageinitiativ kallat Operation Jacana, med fokus på att implementera Windows-iterationen av detta hotfulla implantat. I slutet av mars 2024 skisserade forskare ett kluster av hotaktiviteter som kallas Earth Krahang, som tydligen har övergått till att använda DinodasRAT sedan 2023 i sina attacker, riktade mot många statliga enheter över hela världen.
Innehållsförteckning
DinodasRAT har kontinuerligt utvecklats av cyberkriminella
Användningen av DinodasRAT har tillskrivits olika hotaktörer som är knutna till Kina, inklusive LuoYu, vilket återigen återspeglar verktygsdelningen som är utbredd bland hackare som identifierats som agerar på uppdrag av landet.
Forskare snubblade över en Linux-version av skadlig programvara (V10) i början av oktober 2023. Bevis som hittills samlats visar att den första kända varianten (V7) går tillbaka till juli 2021. En nästa generations version (V11) har sedan upptäckts i november 2023.
Den är främst utformad för att rikta in sig på Red Hat-baserade distributioner och Ubuntu Linux. Vid exekvering etablerar den beständighet på värden genom att använda SystemV- eller SystemD-startskript. Den kontaktar regelbundet en fjärrserver via TCP eller UDP för att hämta kommandona som ska köras.
DinodasRAT är ett sofistikerat hot med många påträngande möjligheter
DinodasRAT är utrustad med en mängd olika funktioner, inklusive filoperationer, ändring av Command-and-Control-adresser (C2), identifiera och avsluta aktiva processer, exekvera skalkommandon, hämta uppdaterade versioner av bakdörren och till och med självborttagning.
För att undvika upptäckt genom felsökning och övervakningsverktyg använder DinodasRAT undanflyktstekniker. I likhet med sin Windows-motsvarighet använder den Tiny Encryption Algorithm (TEA) för att kryptera C2-kommunikation.
DinodasRAT fokuserar i första hand på att etablera och upprätthålla åtkomst via Linux-servrar snarare än spaning. Den fungerar effektivt, ger operatören total kontroll över det komprometterade systemet och underlättar datastöld och spionage.
DinodasRAT tros ha sitt ursprung från ett öppen källkodsprojekt känt som SimpleRemoter, som är rotat i Gh0st RAT , och har utvecklats till en fullt fungerande skadlig programvara med betydande kapacitet. Den nyupptäckta Linux-versionen av hotet har spårats av vissa forskare, såsom Linodas.
En Linux-variant av DinodasRAT har dykt upp
Personerna bakom detta hot visar hög kompetens i Linux-system. Deras beslut att stödja det här operativsystemet går längre än bara en anpassning av en Windows Remote Access Trojan (RAT) med villkorliga kompileringsdirektiv (#ifdef). Det handlar snarare om ett helt distinkt projekt med en egen kodbas, möjligen hanterad av ett separat utvecklingsteam.
Denna senaste iteration av bakdörren introducerar nya funktioner, inklusive möjligheten att skapa flera trådar för systemövervakning, ladda ner tilläggsmoduler som kan störa specifika systembinärfiler och avsluta inaktiva omvända skalsessioner efter ungefär en timme.
Det primära syftet med tilläggsmodulen, hänvisad till som 'filtermodulen', är att fungera som en proxy för att exekvera originalbinärfiler (t.ex. kommandon som 'vem', 'netstat' och 'ps') och kontrollera deras utdata . Detta gör det möjligt för hotaktörer att extrahera information från värden samtidigt som de undviker upptäckt mer effektivt.
Den sofistikerade och utökade kapaciteten som observeras i detta hot understryker hotaktörernas pågående fokus på att rikta in sig på Linux-servrar. Sådana attacker tjänar både till att etablera en ihållande närvaro och att fungera som en pivotpunkt inom komprometterade nätverk. Denna strategi drar sannolikt nytta av den jämförelsevis lägre nivån av säkerhetsåtgärder som vanligtvis används på Linux-system, vilket gör att angripare kan fördjupa sitt fotfäste och arbeta i hemlighet under längre perioder.
