DinodasRAT
DinodasRAT olarak bilinen platformlar arası bir arka kapı, özellikle Çin, Tayvan, Türkiye ve Özbekistan gibi bölgeleri hedef alarak ortaya çıktı. XDealer olarak da tanınan DinodasRAT, Linux sistemlerinde çalışır ve güvenliği ihlal edilmiş makinelerden çok çeşitli hassas verileri çıkarmak için donatılmış C++ ile yerleşiktir.
Ekim 2023'te araştırmacılar, Guyana'daki bir hükümet kurumunun, bu tehdit edici implantın Windows yinelemesini dağıtmaya odaklanan Jacana Operasyonu adlı bir siber casusluk girişimi kapsamında kuşatma altında olduğunu açıkladı. Mart 2024'ün sonlarında araştırmacılar, Earth Krahang olarak bilinen ve görünüşe göre 2023'ten beri dünya çapında çok sayıda devlet kurumunu hedef alan saldırılarında DinodasRAT'ı kullanmaya başlayan bir dizi tehdit faaliyetinin ana hatlarını çizdiler.
İçindekiler
DinodasRAT Siber Suçlular Tarafından Sürekli Olarak Geliştiriliyor
DinodasRAT'ın kullanımının, LuoYu da dahil olmak üzere Çin bağlantılı çeşitli tehdit aktörlerine atfedilmesi, ülke adına hareket ettiği belirlenen bilgisayar korsanlığı ekipleri arasında yaygın olan araç paylaşımını bir kez daha yansıtıyor.
Araştırmacılar, Ekim 2023'ün başlarında kötü amaçlı yazılımın Linux sürümüne (V10) rastladılar. Şu ana kadar toplanan kanıtlar, bilinen ilk varyantın (V7) Temmuz 2021'e kadar uzandığını gösteriyor. Yeni nesil bir sürüm (V11), o zamandan beri Kasım ayında tespit edildi. 2023.
Esas olarak Red Hat tabanlı dağıtımları ve Ubuntu Linux'u hedeflemek için tasarlanmıştır. Yürütülmesinin ardından SystemV veya SystemD başlangıç komut dosyalarını kullanarak ana bilgisayarda kalıcılık sağlar. Çalıştırılacak komutları getirmek için periyodik olarak uzak bir sunucuyla TCP veya UDP üzerinden iletişim kurar.
DinodasRAT, Çok Sayıda Müdahaleci Yeteneğe Sahip Gelişmiş Bir Tehdittir
DinodasRAT, dosya işlemleri, Komuta ve Kontrol (C2) adreslerini değiştirme, aktif süreçleri tanımlama ve sonlandırma, kabuk komutlarını yürütme, arka kapının güncellenmiş sürümlerini getirme ve hatta kendini kaldırma gibi çeşitli yeteneklerle donatılmıştır.
DinodasRAT, hata ayıklama ve izleme araçlarıyla tespit edilmekten kaçınmak için kaçırma teknikleri kullanır. Windows benzerine benzer şekilde, C2 iletişimlerini şifrelemek için Küçük Şifreleme Algoritmasını (TEA) kullanır.
DinodasRAT öncelikle keşiften ziyade Linux sunucuları üzerinden erişim kurmaya ve sürdürmeye odaklanıyor. Verimli bir şekilde çalışarak operatöre ele geçirilen sistem üzerinde tam kontrol sağlar ve veri hırsızlığını ve casusluğu kolaylaştırır.
Kökeni Gh0st RAT'a dayanan SimpleRemoter olarak bilinen açık kaynaklı bir projeden kaynaklandığına inanılan DinodasRAT, önemli yeteneklere sahip, tamamen işlevsel bir kötü amaçlı yazılıma dönüştü. Tehdidin yeni keşfedilen Linux sürümü, Linodas gibi bazı araştırmacılar tarafından takip ediliyor.
DinodasRAT’ın Linux Versiyonu Ortaya Çıktı
Bu tehdidin arkasındaki kişiler Linux sistemlerinde yüksek yeterlilik göstermektedir. Bu işletim sistemini destekleme kararları, bir Windows Uzaktan Erişim Truva Atı'nın (RAT) koşullu derleme direktifleriyle (#ifdef) uyarlanmasının ötesine geçiyor. Daha ziyade, muhtemelen ayrı bir geliştirme ekibi tarafından yönetilen, kendi kod tabanına sahip tamamen farklı bir projeyi içerir.
Arka kapının bu en son yinelemesi, sistem izleme için birden fazla iş parçacığı oluşturma, belirli sistem ikili dosyalarını bozabilecek ek modülleri indirme ve yaklaşık bir saat sonra etkin olmayan ters kabuk oturumlarını sonlandırma yeteneği de dahil olmak üzere yeni işlevler sunar.
'Filtre modülü' olarak adlandırılan ek modülün birincil amacı, orijinal ikili dosyaları (örneğin, 'kim', 'netstat' ve 'ps' gibi komutlar) yürütmek ve çıktılarını kontrol etmek için bir proxy görevi görmektir. . Bu, tehdit aktörlerinin tespit edilmekten daha etkili bir şekilde kaçınırken ana bilgisayardan bilgi almasına olanak tanır.
Bu tehditte gözlemlenen gelişmişlik ve genişletilmiş yetenekler, tehdit aktörlerinin Linux sunucularını hedeflemeye odaklandığının altını çiziyor. Bu tür saldırılar hem kalıcı bir varlık oluşturmaya hem de ele geçirilen ağlarda bir pivot noktası görevi görmeye hizmet eder. Bu strateji muhtemelen Linux sistemlerinde tipik olarak uygulanan nispeten daha düşük düzeydeki güvenlik önlemlerinden yararlanarak saldırganların dayanaklarını derinleştirmesine ve uzun süreler boyunca gizlice çalışmasına olanak tanıyor.
