DinodasRAT
Міжплатформний бекдор, відомий як DinodasRAT, з’явився в дикій природі, спеціально націлений на такі регіони, як Китай, Тайвань, Туреччина та Узбекистан. Також відомий як XDealer, DinodasRAT працює в системах Linux і побудований на C++, який може витягувати різноманітні масиви конфіденційних даних із скомпрометованих машин.
У жовтні 2023 року слідчі повідомили, що урядова установа в Гайані перебуває в облозі в рамках ініціативи кібершпигунства під назвою «Операція Джакана», зосереджуючись на розгортанні ітерації Windows цього загрозливого імплантату. Наприкінці березня 2024 року дослідники окреслили групу загрозливих дій, відомих як Earth Krahang, які, очевидно, перейшли на використання DinodasRAT з 2023 року для своїх нападів, націлених на численні державні установи по всьому світу.
Зміст
DinodasRAT постійно розвивається кіберзлочинцями
Використання DinodasRAT приписують різним суб’єктам загрози Китаю, включаючи LuoYu, що ще раз відображає спільний доступ до інструментів серед хакерських команд, які, як вважають, діють від імені країни.
Дослідники натрапили на версію зловмисного програмного забезпечення для Linux (V10) на початку жовтня 2023 року. Докази, зібрані на даний момент, показують, що перший відомий варіант (V7) датується липнем 2021 року. Відтоді в листопаді було виявлено версію наступного покоління (V11). 2023 рік.
В основному він призначений для дистрибутивів на основі Red Hat і Ubuntu Linux. Після виконання він встановлює постійність на хості за допомогою сценаріїв запуску SystemV або SystemD. Він періодично зв’язується з віддаленим сервером через TCP або UDP, щоб отримати команди для виконання.
DinodasRAT — це складна загроза з численними можливостями втручання
DinodasRAT оснащений різноманітними можливостями, включаючи операції з файлами, зміну адрес команди та контролю (C2), ідентифікацію та завершення активних процесів, виконання команд оболонки, отримання оновлених версій бекдору та навіть самовидалення.
Щоб уникнути виявлення інструментами налагодження та моніторингу, DinodasRAT використовує методи ухилення. Подібно до аналога Windows, він використовує маленький алгоритм шифрування (TEA) для шифрування зв’язку C2.
DinodasRAT насамперед зосереджується на встановленні та підтримці доступу через сервери Linux, а не на розвідці. Він працює ефективно, надаючи оператору повний контроль над скомпрометованою системою та полегшуючи крадіжку даних і шпигунство.
Вважається, що DinodasRAT походить від проекту з відкритим кодом під назвою SimpleRemoter, який базується на Gh0st RAT , і перетворився на повнофункціональну шкідливу програму зі значними можливостями. Нещодавно відкрита версія загрози для Linux була відстежена деякими дослідниками, такими як Linodas.
З’явився варіант DinodasRAT для Linux
Особи, що стоять за цією загрозою, демонструють високі знання систем Linux. Їхнє рішення підтримувати цю операційну систему виходить за рамки простої адаптації трояна віддаленого доступу Windows (RAT) з директивами умовної компіляції (#ifdef). Швидше, це пов’язано з абсолютно окремим проектом із власною кодовою базою, яким, можливо, керує окрема команда розробників.
Ця остання ітерація бекдора представляє нові функціональні можливості, включаючи можливість створювати кілька потоків для моніторингу системи, завантажувати додаткові модулі, здатні порушувати певні двійкові файли системи, і припиняти неактивні зворотні сеанси оболонки приблизно через одну годину.
Основне призначення додаткового модуля, який називають «модулем фільтра», полягає в тому, щоб служити проксі-сервером для виконання оригінальних двійкових файлів (наприклад, таких команд, як «who», «netstat» і «ps») і контролювати їх вихід. . Це дає змогу суб’єктам загрози отримувати інформацію з хоста, уникаючи виявлення більш ефективно.
Витонченість і розширені можливості цієї загрози підкреслюють постійну зосередженість суб’єктів загрози на серверах Linux. Такі атаки служать як для встановлення постійної присутності, так і для опорної точки в скомпрометованих мережах. Ця стратегія, ймовірно, використовує порівняно нижчий рівень заходів безпеки, які зазвичай застосовуються в системах Linux, що дозволяє зловмисникам поглибити свою точку опори та діяти таємно протягом тривалого часу.
