DinodasRAT

ظهر باب خلفي متعدد المنصات يُعرف باسم DinodasRAT في البرية، ويستهدف على وجه التحديد مناطق مثل الصين وتايوان وتركيا وأوزبكستان. يُعرف DinodasRAT أيضًا باسم XDealer، ويعمل على أنظمة Linux وهو مبني على لغة C++، وهو مجهز لاستخراج مجموعة متنوعة من البيانات الحساسة من الأجهزة المخترقة.

في أكتوبر 2023، كشف المحققون أن هيئة حكومية في غيانا كانت تحت الحصار كجزء من مبادرة تجسس إلكتروني تسمى عملية Jacana، مع التركيز على نشر نسخة Windows من هذا التهديد المزروع. في أواخر مارس 2024، حدد الباحثون مجموعة من أنشطة التهديد المعروفة باسم Earth Krahang، والتي يبدو أنها انتقلت إلى استخدام DinodasRAT منذ عام 2023 في هجماتها، التي تستهدف العديد من الكيانات الحكومية في جميع أنحاء العالم.

لقد تم تطوير DinodasRAT بشكل مستمر من قبل مجرمي الإنترنت

يُعزى استخدام DinodasRAT إلى العديد من الجهات الفاعلة التي تهدد العلاقة بين الصين، بما في ذلك LuoYu، مما يعكس مرة أخرى مشاركة الأدوات السائدة بين أطقم القرصنة التي تم تحديدها على أنها تعمل نيابة عن البلاد.

عثر الباحثون على إصدار Linux من البرنامج الضار (V10) في أوائل أكتوبر 2023. وتُظهر الأدلة التي تم جمعها حتى الآن أن أول متغير معروف (V7) يعود تاريخه إلى يوليو 2021. ومنذ ذلك الحين تم اكتشاف إصدار الجيل التالي (V11) في نوفمبر. 2023.

إنه مصمم بشكل أساسي لاستهداف التوزيعات المستندة إلى Red Hat وUbuntu Linux. عند التنفيذ، فإنه يؤسس الثبات على المضيف باستخدام البرامج النصية لبدء التشغيل SystemV أو SystemD. ويتصل بشكل دوري بخادم بعيد عبر TCP أو UDP لجلب الأوامر المطلوب تشغيلها.

DinodasRAT هو تهديد متطور ذو قدرات تدخلية عديدة

يأتي DinodasRAT مزودًا بمجموعة متنوعة من الإمكانات، بما في ذلك عمليات الملفات، وتعديل عناوين القيادة والتحكم (C2)، وتحديد العمليات النشطة وإنهائها، وتنفيذ أوامر shell، وجلب الإصدارات المحدثة من الباب الخلفي، وحتى الإزالة الذاتية.

لتجنب الكشف عن طريق أدوات التصحيح والمراقبة، يستخدم DinodasRAT تقنيات التهرب. على غرار نظيره في Windows، فإنه يستخدم خوارزمية التشفير الصغيرة (TEA) لتشفير اتصالات C2.

يركز DinodasRAT في المقام الأول على إنشاء واستدامة الوصول عبر خوادم Linux بدلاً من الاستطلاع. إنه يعمل بكفاءة، مما يمنح المشغل السيطرة الكاملة على النظام المخترق ويسهل سرقة البيانات والتجسس.

يُعتقد أنه نشأ من مشروع مفتوح المصدر يُعرف باسم SimpleRemoter، والذي له جذور في Gh0st RAT ، وقد تطور DinodasRAT إلى برنامج ضار يعمل بكامل طاقته ويتمتع بقدرات كبيرة. تم تتبع نسخة Linux المكتشفة حديثًا من التهديد من قبل بعض الباحثين، مثل Linodas.

لقد ظهر متغير Linux لـ DinodasRAT

يُظهر الأفراد الذين يقفون وراء هذا التهديد كفاءة عالية في أنظمة Linux. إن قرارهم بدعم نظام التشغيل هذا يتجاوز مجرد تعديل حصان طروادة للوصول عن بعد لـ Windows (RAT) مع توجيهات الترجمة المشروطة (#ifdef). بدلاً من ذلك، فهو يتضمن مشروعًا متميزًا تمامًا بقاعدة تعليمات برمجية خاصة به، وربما تتم إدارته بواسطة فريق تطوير منفصل.

يقدم هذا التكرار الأخير للباب الخلفي وظائف جديدة، بما في ذلك القدرة على إنشاء سلاسل رسائل متعددة لمراقبة النظام، وتنزيل وحدات تكميلية قادرة على تعطيل ثنائيات نظام معينة، وإنهاء جلسات الصدفة العكسية غير النشطة بعد ساعة واحدة تقريبًا.

الغرض الأساسي من الوحدة الإضافية، والتي يشار إليها باسم "وحدة التصفية"، هو العمل كبديل لتنفيذ الثنائيات الأصلية (على سبيل المثال، أوامر مثل "who" و"netstat" و"ps") والتحكم في مخرجاتها . وهذا يمكّن الجهات الفاعلة في مجال التهديد من استخراج المعلومات من المضيف مع تجنب الكشف بشكل أكثر فعالية.

يؤكد التطور والقدرات الموسعة التي لوحظت في هذا التهديد على التركيز المستمر للجهات الفاعلة في مجال التهديد على استهداف خوادم Linux. تعمل مثل هذه الهجمات على إنشاء تواجد مستمر وتكون بمثابة نقطة محورية داخل الشبكات المعرضة للخطر. من المحتمل أن تستفيد هذه الإستراتيجية من المستوى المنخفض نسبيًا من الإجراءات الأمنية التي يتم نشرها عادةً على أنظمة Linux، مما يمكّن المهاجمين من تعميق موطئ قدمهم والعمل سرًا لفترات طويلة.