DinodasRAT

Ang isang cross-platform na backdoor na kilala bilang DinodasRAT ay lumitaw sa ligaw, partikular na nagta-target sa mga rehiyon tulad ng China, Taiwan, Turkey at Uzbekistan. Kinikilala rin bilang XDealer, ang DinodasRAT ay nagpapatakbo sa mga Linux system at binuo sa C++, na nilagyan upang kumuha ng magkakaibang hanay ng sensitibong data mula sa mga nakompromisong machine.

Noong Oktubre 2023, ibinunyag ng mga imbestigador na ang isang katawan ng pamahalaan sa Guyana ay nasa ilalim ng pagkubkob bilang bahagi ng isang cyber espionage na inisyatiba na tinatawag na Operation Jacana, na nakatuon sa pag-deploy ng Windows iteration ng nagbabantang implant na ito. Noong huling bahagi ng Marso 2024, binalangkas ng mga mananaliksik ang isang kumpol ng mga aktibidad sa pagbabanta na kilala bilang Earth Krahang, na tila lumipat sa paggamit ng DinodasRAT mula noong 2023 sa mga pag-atake nito, na nagta-target sa maraming entity ng gobyerno sa buong mundo.

Ang DinodasRAT ay Patuloy na Binuo ng mga Cybercriminal

Ang paggamit ng DinodasRAT ay naiugnay sa iba't ibang mga aktor ng pagbabanta ng China-nexus, kabilang ang LuoYu, na muling nagpapakita ng pagbabahagi ng tool na laganap sa mga tauhan ng pag-hack na kinilala bilang kumikilos sa ngalan ng bansa.

Nakakita ang mga mananaliksik ng isang bersyon ng Linux ng malware (V10) noong unang bahagi ng Oktubre 2023. Ipinapakita ng ebidensyang nakalap sa ngayon na ang unang kilalang variant (V7) ay nagmula noong Hulyo 2021. May natukoy nang susunod na henerasyong bersyon (V11) noong Nobyembre 2023.

Pangunahin itong idinisenyo upang i-target ang mga distribusyon na nakabatay sa Red Hat at Ubuntu Linux. Sa pagpapatupad, nagtatatag ito ng pagtitiyaga sa host sa pamamagitan ng paggamit ng SystemV o SystemD startup script. Pana-panahong nakikipag-ugnayan ito sa isang malayuang server sa pamamagitan ng TCP o UDP upang kunin ang mga utos na tatakbo.

Ang DinodasRAT ay isang Sopistikadong Banta na may Maraming Mapanghimasok na Kakayahang

Ang DinodasRAT ay nilagyan ng iba't ibang mga kakayahan, kabilang ang mga pagpapatakbo ng file, pagpapalit ng mga address ng Command-and-Control (C2), pagtukoy at pagwawakas ng mga aktibong proseso, pagpapatupad ng mga command ng shell, pagkuha ng mga na-update na bersyon ng backdoor, at maging ang pag-alis sa sarili.

Upang maiwasan ang pagtuklas sa pamamagitan ng mga tool sa pag-debug at pagsubaybay, gumagamit ang DinodasRAT ng mga diskarte sa pag-iwas. Katulad ng katapat nitong Windows, ginagamit nito ang Tiny Encryption Algorithm (TEA) upang i-encrypt ang mga komunikasyon sa C2.

Pangunahing nakatuon ang DinodasRAT sa pagtatatag at pagpapanatili ng access sa pamamagitan ng mga server ng Linux sa halip na reconnaissance. Ito ay gumagana nang mahusay, na nagbibigay sa operator ng kabuuang kontrol sa nakompromisong sistema at nagpapadali sa pagnanakaw ng data at espiya.

Pinaniniwalaang nagmula sa isang open-source na proyekto na kilala bilang SimpleRemoter, na nakaugat sa Gh0st RAT , ang DinodasRAT ay naging isang ganap na gumaganang malware na may makabuluhang mga kakayahan. Ang bagong natuklasang bersyon ng Linux ng pagbabanta ay sinusubaybayan ng ilang mananaliksik, gaya ni Linodas.

Isang Linux Variant ng DinodasRAT ang Lumitaw

Ang mga indibidwal sa likod ng banta na ito ay nagpapakita ng mataas na kasanayan sa mga sistema ng Linux. Ang kanilang desisyon na suportahan ang operating system na ito ay higit pa sa isang adaptasyon lamang ng isang Windows Remote Access Trojan (RAT) na may conditional compilation directives (#ifdef). Sa halip, nagsasangkot ito ng isang ganap na natatanging proyekto na may sarili nitong codebase, na posibleng pinamamahalaan ng isang hiwalay na development team.

Ang pinakabagong pag-ulit ng backdoor ay nagpapakilala ng mga bagong functionality, kabilang ang kakayahang gumawa ng maraming thread para sa pagsubaybay sa system, pag-download ng mga karagdagang module na may kakayahang makagambala sa mga partikular na binary ng system, at wakasan ang mga hindi aktibong reverse shell session pagkatapos ng humigit-kumulang isang oras.

Ang pangunahing layunin ng karagdagang module, na tinutukoy bilang 'filter module,' ay upang magsilbing proxy para sa pagpapatupad ng mga orihinal na binary (hal., mga command tulad ng 'sino,' 'netstat,' at 'ps') at pagkontrol sa kanilang output . Nagbibigay-daan ito sa mga aktor ng pagbabanta na kumuha ng impormasyon mula sa host habang iniiwasan ang pagtuklas nang mas epektibo.

Ang pagiging sopistikado at pinalawak na mga kakayahan na naobserbahan sa bantang ito ay binibigyang-diin ang patuloy na pagtutok ng mga aktor ng pagbabanta sa pag-target sa mga server ng Linux. Ang ganitong mga pag-atake ay nagsisilbing parehong upang magtatag ng isang patuloy na presensya at upang magsilbi bilang isang pivot point sa loob ng mga nakompromisong network. Malamang na ginagamit ng diskarteng ito ang mas mababang antas ng mga hakbang sa seguridad na karaniwang naka-deploy sa mga Linux system, na nagbibigay-daan sa mga umaatake na palalimin ang kanilang foothold at palihim na gumana sa loob ng mahabang panahon.