DinodasRAT
DinodasRAT-niminen eri alustojen takaovi on noussut esiin luonnossa, ja se on kohdistettu erityisesti sellaisille alueille kuin Kiina, Taiwan, Turkki ja Uzbekistan. DinodasRAT, joka tunnetaan myös nimellä XDealer, toimii Linux-järjestelmissä ja on rakennettu C++:aan, joka on varustettu poimimaan monenlaisia arkaluonteisia tietoja vaarantuneista koneista.
Lokakuussa 2023 tutkijat paljastivat, että Guyanan hallitus oli piiritetty osana operaatio Jacana-nimistä kybervakoilualoitetta, joka keskittyi tämän uhkaavan implantin Windows-iteroinnin käyttöön. Maaliskuun 2024 lopulla tutkijat hahmottelivat uhkatoimintojen klusterin, joka tunnetaan nimellä Earth Krahang ja joka on ilmeisesti siirtynyt käyttämään DinodasRATia hyökkäyksissään vuodesta 2023 lähtien, ja se kohdistuu useisiin valtion yksiköihin ympäri maailmaa.
Sisällysluettelo
Kyberrikolliset ovat jatkuvasti kehittäneet DinodasRATia
DinodasRAT:n käytön on katsottu syyllistyneen useisiin Kiinaan liittyviin uhkatekijöihin, mukaan lukien LuoYu, mikä heijastaa jälleen kerran maan puolesta toimivien hakkerointiryhmien välistä työkalujen jakamista.
Tutkijat törmäsivät haittaohjelman Linux-versioon (V10) lokakuun alussa 2023. Tähän mennessä kerätyt todisteet osoittavat, että ensimmäinen tunnettu versio (V7) on peräisin heinäkuusta 2021. Seuraavan sukupolven versio (V11) on sen jälkeen havaittu marraskuussa. 2023.
Se on suunniteltu pääasiassa kohdistamaan Red Hat -pohjaisiin jakeluihin ja Ubuntu Linuxiin. Suorituksen jälkeen se varmistaa isäntäkoneen pysyvyyden käyttämällä SystemV- tai SystemD-käynnistyskomentosarjoja. Se ottaa ajoittain yhteyttä etäpalvelimeen TCP:n tai UDP:n kautta noutaakseen suoritettavat komennot.
DinodasRAT on hienostunut uhka, jossa on lukuisia häiritseviä ominaisuuksia
DinodasRAT on varustettu erilaisilla ominaisuuksilla, mukaan lukien tiedostotoiminnot, Command-and-Control (C2) -osoitteiden muuttaminen, aktiivisten prosessien tunnistaminen ja lopettaminen, komentotulkkikomentojen suorittaminen, takaoven päivitettyjen versioiden hakeminen ja jopa itsensä poistaminen.
Välttääkseen havaitsemisen virheenkorjaus- ja valvontatyökaluilla DinodasRAT käyttää evaasiotekniikoita. Windows-vastineen tapaan se käyttää Tiny Encryption Algorithm (TEA) -salausalgoritmia C2-viestinnän salaamiseen.
DinodasRAT keskittyy ensisijaisesti pääsyn luomiseen ja ylläpitämiseen Linux-palvelimien kautta tiedustelun sijaan. Se toimii tehokkaasti antaen operaattorille täydellisen hallinnan vaarantuneesta järjestelmästä ja helpottaen tietovarkauksia ja vakoilua.
DinodasRAT:n uskotaan saaneen alkunsa avoimen lähdekoodin projektista, joka tunnetaan nimellä SimpleRemoter ja jonka juuret ovat Gh0st RAT , ja siitä on kehittynyt täysin toimiva haittaohjelma, jolla on merkittäviä ominaisuuksia. Jotkut tutkijat, kuten Linodas, ovat seuranneet uhan äskettäin löydettyä Linux-versiota.
Linux-versio DinodasRATista on ilmestynyt
Tämän uhan takana olevat henkilöt osoittavat korkeaa taitoa Linux-järjestelmissä. Heidän päätöksensä tukea tätä käyttöjärjestelmää on enemmän kuin pelkkä Windows Remote Access Troijan (RAT) mukauttaminen ehdollisilla käännösohjeilla (#ifdef). Pikemminkin se sisältää täysin erillisen projektin, jolla on oma koodikanta ja jota mahdollisesti hallinnoi erillinen kehitystiimi.
Tämä takaoven uusin iteraatio tuo uusia toimintoja, mukaan lukien mahdollisuuden luoda useita säikeitä järjestelmän valvontaa varten, ladata lisämoduuleja, jotka voivat häiritä tiettyjä järjestelmän binaaritiedostoja, ja lopettaa ei-aktiiviset käänteiset shell-istunnot noin tunnin kuluttua.
Lisämoduulin, jota kutsutaan 'suodatinmoduuliksi', ensisijainen tarkoitus on toimia välityspalvelimena alkuperäisten binäärien (esim. komentojen, kuten 'who', 'netstat' ja 'ps') suorittamiseen ja niiden ulostulon ohjaamiseen. . Tämän ansiosta uhkatekijät voivat poimia tietoja isännästä ja välttää havaitsemisen tehokkaammin.
Tässä uhassa havaittu kehittyneisyys ja laajennetut ominaisuudet korostavat uhkatoimijoiden jatkuvaa keskittymistä Linux-palvelimiin. Tällaiset hyökkäykset palvelevat sekä jatkuvan läsnäolon luomiseen että toimimaan kääntöpisteenä vaarantuneissa verkoissa. Tämä strategia hyödyntää todennäköisesti Linux-järjestelmissä tyypillisesti käytettyjä, verrattain alhaisempia suojatoimenpiteitä, mikä antaa hyökkääjille mahdollisuuden syventää jalansijaansa ja toimia piilossa pitkiä aikoja.
