DinodasRAT
Một cửa hậu đa nền tảng có tên DinodasRAT đã xuất hiện một cách tự nhiên, đặc biệt nhắm mục tiêu vào các khu vực như Trung Quốc, Đài Loan, Thổ Nhĩ Kỳ và Uzbekistan. Còn được công nhận là XDealer, DinodasRAT hoạt động trên hệ thống Linux và được xây dựng bằng C++, được trang bị để trích xuất nhiều loại dữ liệu nhạy cảm từ các máy bị xâm nhập.
Vào tháng 10 năm 2023, các nhà điều tra tiết lộ rằng một cơ quan chính phủ ở Guyana đang bị bao vây trong khuôn khổ sáng kiến gián điệp mạng có tên là Chiến dịch Jacana, tập trung vào việc triển khai phiên bản Windows của thiết bị cấy ghép đe dọa này. Vào cuối tháng 3 năm 2024, các nhà nghiên cứu đã vạch ra một nhóm các hoạt động đe dọa được gọi là Earth Krahang. Nhóm này rõ ràng đã chuyển sang sử dụng DinodasRAT kể từ năm 2023 trong các cuộc tấn công của mình, nhắm vào nhiều tổ chức chính phủ trên toàn cầu.
Mục lục
DinodasRAT đã được tội phạm mạng phát triển liên tục
Việc sử dụng DinodasRAT được cho là do nhiều kẻ đe dọa mối quan hệ với Trung Quốc thực hiện, bao gồm cả LuoYu, một lần nữa phản ánh việc chia sẻ công cụ phổ biến giữa các nhóm hack được xác định là hành động thay mặt cho đất nước.
Các nhà nghiên cứu tình cờ tìm thấy phiên bản Linux của phần mềm độc hại (V10) vào đầu tháng 10 năm 2023. Bằng chứng thu thập được cho đến nay cho thấy biến thể đầu tiên được biết đến (V7) có từ tháng 7 năm 2021. Phiên bản thế hệ tiếp theo (V11) đã được phát hiện vào tháng 11 2023.
Nó chủ yếu được thiết kế để nhắm tới các bản phân phối dựa trên Red Hat và Ubuntu Linux. Sau khi thực thi, nó sẽ thiết lập tính bền vững trên máy chủ bằng cách sử dụng các tập lệnh khởi động SystemV hoặc SystemD. Nó định kỳ liên lạc với một máy chủ từ xa qua TCP hoặc UDP để tìm nạp các lệnh sẽ chạy.
DinodasRAT là một mối đe dọa tinh vi với nhiều khả năng xâm nhập
DinodasRAT được trang bị nhiều khả năng khác nhau, bao gồm thao tác với tệp, thay đổi địa chỉ Lệnh và Kiểm soát (C2), xác định và chấm dứt các quy trình đang hoạt động, thực thi lệnh shell, tìm nạp các phiên bản cập nhật của cửa sau và thậm chí tự loại bỏ.
Để tránh bị phát hiện bởi các công cụ gỡ lỗi và giám sát, DinodasRAT sử dụng các kỹ thuật trốn tránh. Tương tự như đối tác Windows, nó sử dụng Thuật toán mã hóa nhỏ (TEA) để mã hóa thông tin liên lạc C2.
DinodasRAT chủ yếu tập trung vào việc thiết lập và duy trì quyền truy cập thông qua máy chủ Linux hơn là trinh sát. Nó hoạt động hiệu quả, trao cho người vận hành toàn quyền kiểm soát hệ thống bị xâm nhập và tạo điều kiện thuận lợi cho hoạt động trộm cắp và gián điệp dữ liệu.
Được cho là có nguồn gốc từ một dự án nguồn mở có tên SimpleRemoter, bắt nguồn từ Gh0st RAT , DinodasRAT đã phát triển thành một phần mềm độc hại có đầy đủ chức năng với những khả năng đáng kể. Phiên bản Linux mới được phát hiện của mối đe dọa này đã được một số nhà nghiên cứu theo dõi, chẳng hạn như Linodas.
Một biến thể Linux của DinodasRAT đã xuất hiện
Những cá nhân đằng sau mối đe dọa này chứng tỏ trình độ cao về hệ thống Linux. Quyết định hỗ trợ hệ điều hành này của họ không chỉ là việc điều chỉnh đơn thuần Trojan Truy cập Từ xa Windows (RAT) với các chỉ thị biên dịch có điều kiện (#ifdef). Đúng hơn, nó liên quan đến một dự án hoàn toàn khác biệt với cơ sở mã riêng, có thể được quản lý bởi một nhóm phát triển riêng.
Phiên bản cửa sau mới nhất này giới thiệu các chức năng mới, bao gồm khả năng tạo nhiều luồng để giám sát hệ thống, tải xuống các mô-đun bổ sung có khả năng phá vỡ các tệp nhị phân của hệ thống cụ thể và chấm dứt các phiên shell đảo ngược không hoạt động sau khoảng một giờ.
Mục đích chính của mô-đun bổ sung, được gọi là 'mô-đun bộ lọc', là dùng làm proxy để thực thi các tệp nhị phân gốc (ví dụ: các lệnh như 'who', 'netstat' và 'ps') và kiểm soát đầu ra của chúng . Điều này cho phép các tác nhân đe dọa trích xuất thông tin từ máy chủ đồng thời trốn tránh sự phát hiện hiệu quả hơn.
Sự phức tạp và khả năng mở rộng được quan sát thấy trong mối đe dọa này nhấn mạnh sự tập trung liên tục của các tác nhân đe dọa vào việc nhắm mục tiêu vào các máy chủ Linux. Các cuộc tấn công như vậy vừa nhằm mục đích thiết lập sự hiện diện lâu dài vừa đóng vai trò là điểm mấu chốt trong các mạng bị xâm nhập. Chiến lược này có thể tận dụng các biện pháp bảo mật ở mức độ tương đối thấp hơn thường được triển khai trên các hệ thống Linux, cho phép kẻ tấn công tạo dựng chỗ đứng sâu hơn và hoạt động bí mật trong thời gian dài.
