DinodasRAT
Una backdoor multipiattaforma nota come DinodasRAT è emersa in giro, prendendo di mira specificamente regioni come Cina, Taiwan, Turchia e Uzbekistan. Riconosciuto anche come XDealer, DinodasRAT funziona su sistemi Linux ed è costruito in C++, che è attrezzato per estrarre una vasta gamma di dati sensibili da macchine compromesse.
Nell'ottobre 2023, gli investigatori hanno rivelato che un ente governativo in Guyana era sotto assedio come parte di un'iniziativa di spionaggio informatico denominata Operazione Jacana, concentrata sull'implementazione dell'iterazione Windows di questo impianto minaccioso. Alla fine di marzo 2024, i ricercatori hanno delineato un gruppo di attività di minaccia noto come Earth Krahang, che apparentemente è passato all’utilizzo di DinodasRAT dal 2023 nei suoi attacchi, prendendo di mira numerosi enti governativi in tutto il mondo.
Sommario
DinodasRAT è stato continuamente sviluppato dai criminali informatici
L'uso di DinodasRAT è stato attribuito a vari autori di minacce legate alla Cina, tra cui LuoYu, riflettendo ancora una volta la condivisione degli strumenti prevalente tra le squadre di hacker identificate come agenti per conto del paese.
I ricercatori si sono imbattuti in una versione Linux del malware (V10) all'inizio di ottobre 2023. Le prove finora raccolte mostrano che la prima variante conosciuta (V7) risale a luglio 2021. Da allora è stata rilevata una versione di prossima generazione (V11) a novembre 2023.
È progettato principalmente per prendere di mira le distribuzioni basate su Red Hat e Ubuntu Linux. Al momento dell'esecuzione, stabilisce la persistenza sull'host utilizzando gli script di avvio SystemV o SystemD. Contatta periodicamente un server remoto tramite TCP o UDP per recuperare i comandi da eseguire.
DinodasRAT è una minaccia sofisticata con numerose capacità invasive
DinodasRAT è dotato di una varietà di funzionalità, tra cui operazioni sui file, alterazione degli indirizzi di comando e controllo (C2), identificazione e terminazione di processi attivi, esecuzione di comandi shell, recupero di versioni aggiornate della backdoor e persino auto-rimozione.
Per evitare il rilevamento tramite strumenti di debug e monitoraggio, DinodasRAT utilizza tecniche di evasione. Simile alla sua controparte Windows, utilizza il Tiny Encryption Algorithm (TEA) per crittografare le comunicazioni C2.
DinodasRAT si concentra principalmente sulla creazione e sul mantenimento dell'accesso tramite server Linux piuttosto che sulla ricognizione. Funziona in modo efficiente, garantendo all'operatore il controllo totale sul sistema compromesso e facilitando il furto di dati e lo spionaggio.
Si ritiene che abbia avuto origine da un progetto open source noto come SimpleRemoter, che affonda le sue radici nel Gh0st RAT , DinodasRAT si è evoluto in un malware completamente funzionale con capacità significative. La versione Linux della minaccia appena scoperta è stata monitorata da alcuni ricercatori, come Linodas.
È emersa una variante Linux di DinodasRAT
Gli individui dietro questa minaccia dimostrano un'elevata competenza nei sistemi Linux. La loro decisione di supportare questo sistema operativo va oltre il semplice adattamento di un Trojan di accesso remoto (RAT) di Windows con direttive di compilazione condizionale (#ifdef). Piuttosto, si tratta di un progetto completamente distinto con una propria base di codice, possibilmente gestito da un team di sviluppo separato.
Quest'ultima iterazione della backdoor introduce nuove funzionalità, inclusa la possibilità di creare thread multipli per il monitoraggio del sistema, scaricare moduli supplementari in grado di interrompere specifici file binari di sistema e terminare sessioni di shell inversa inattive dopo circa un'ora.
Lo scopo principale del modulo aggiuntivo, denominato "modulo filtro", è quello di fungere da proxy per l'esecuzione dei file binari originali (ad esempio, comandi come "who", "netstat" e "ps") e il controllo del loro output . Ciò consente agli autori delle minacce di estrarre informazioni dall'host eludendo il rilevamento in modo più efficace.
La sofisticatezza e le capacità estese osservate in questa minaccia sottolineano la continua attenzione degli autori delle minacce nel prendere di mira i server Linux. Tali attacchi servono sia a stabilire una presenza persistente sia a fungere da punto cardine all’interno delle reti compromesse. Questa strategia probabilmente sfrutta il livello relativamente più basso di misure di sicurezza tipicamente implementate sui sistemi Linux, consentendo agli aggressori di rafforzare il proprio punto d’appoggio e operare di nascosto per periodi prolungati.
