DinodasRAT

DinodasRAT로 알려진 크로스 플랫폼 백도어가 특히 중국, 대만, 터키, 우즈베키스탄과 같은 지역을 표적으로 삼아 표면화되었습니다. XDealer로도 알려진 DinodasRAT는 Linux 시스템에서 작동하며 C++로 구축되어 손상된 시스템에서 다양한 민감한 데이터를 추출할 수 있습니다.

2023년 10월, 조사관들은 이 위협적인 임플란트의 Windows 버전 배포에 초점을 맞춘 Jacana 작전이라는 사이버 스파이 활동의 일환으로 가이아나의 정부 기관이 포위 공격을 받고 있음을 밝혔습니다. 2024년 3월 말, 연구원들은 Earth Krahang으로 알려진 일련의 위협 활동을 설명했습니다. 이 활동은 2023년부터 전 세계 수많은 정부 기관을 대상으로 공격에 DinodasRAT를 사용하는 것으로 전환되었습니다.

DinodasRAT는 사이버 범죄자들에 의해 지속적으로 개발되었습니다

DinodasRAT의 사용은 LuoYu를 포함한 다양한 China-nexus 위협 행위자에 의해 발생했으며, 이는 국가를 대신하여 활동하는 것으로 확인된 해킹 조직 사이에 널리 퍼진 도구 공유를 다시 한번 반영합니다.

연구원들은 2023년 10월 초에 Linux 버전의 악성 코드(V10)를 발견했습니다. 지금까지 수집된 증거에 따르면 첫 번째 알려진 변종(V7)은 2021년 7월로 거슬러 올라갑니다. 이후 11월에 차세대 버전(V11)이 발견되었습니다. 2023.

주로 Red Hat 기반 배포판과 Ubuntu Linux를 대상으로 설계되었습니다. 실행 시 SystemV 또는 SystemD 시작 스크립트를 사용하여 호스트에서 지속성을 설정합니다. 주기적으로 TCP 또는 UDP를 통해 원격 서버에 접속하여 실행할 명령을 가져옵니다.

DinodasRAT는 수많은 침입 기능을 갖춘 정교한 위협입니다.

DinodasRAT에는 파일 작업, C2(명령 및 제어) 주소 변경, 활성 프로세스 식별 및 종료, 셸 명령 실행, 업데이트된 백도어 버전 가져오기, 자체 제거 등 다양한 기능이 탑재되어 있습니다.

디버깅 및 모니터링 도구를 통한 탐지를 피하기 위해 DinodasRAT는 회피 기술을 사용합니다. Windows와 유사하게 TEA(Tiny Encryption Algorithm)를 활용하여 C2 통신을 암호화합니다.

DinodasRAT는 주로 정찰보다는 Linux 서버를 통한 액세스 설정 및 유지에 중점을 둡니다. 효율적으로 작동하여 운영자에게 손상된 시스템에 대한 완전한 통제권을 부여하고 데이터 도난 및 간첩 활동을 용이하게 합니다.

Gh0st RAT 에 뿌리를 둔 SimpleRemoter라는 오픈 소스 프로젝트에서 시작된 것으로 알려진 DinodasRAT는 상당한 기능을 갖춘 완전한 기능의 악성 코드로 진화했습니다. 새로 발견된 위협의 Linux 버전은 Linodas와 같은 일부 연구원에 의해 추적되었습니다.

DinodasRAT의 Linux 변종 등장

이 위협의 배후에 있는 개인은 Linux 시스템에 대한 높은 숙련도를 보여줍니다. 이 운영 체제를 지원하기로 한 결정은 단순히 조건부 컴파일 지시문(#ifdef)을 사용하여 Windows 원격 액세스 트로이 목마(RAT)를 적용한 것 이상입니다. 오히려 별도의 개발 팀에서 관리할 수 있는 자체 코드베이스를 갖춘 완전히 별개의 프로젝트가 포함됩니다.

이 최신 버전의 백도어에는 시스템 모니터링을 위한 다중 스레드 생성, 특정 시스템 바이너리를 방해할 수 있는 추가 모듈 다운로드, 약 1시간 후에 비활성 리버스 셸 세션 종료 등의 새로운 기능이 도입되었습니다.

'필터 모듈'이라고 하는 추가 모듈의 주요 목적은 원래 바이너리(예: 'who', 'netstat' 및 'ps'와 같은 명령)를 실행하고 해당 출력을 제어하기 위한 프록시 역할을 하는 것입니다. . 이를 통해 위협 행위자는 탐지를 보다 효과적으로 회피하면서 호스트에서 정보를 추출할 수 있습니다.

이 위협에서 관찰된 정교함과 확장된 기능은 위협 행위자가 Linux 서버를 표적으로 삼는 데 지속적으로 초점을 맞추고 있음을 강조합니다. 이러한 공격은 지속적인 존재감을 확립하고 손상된 네트워크 내에서 피벗 포인트 역할을 합니다. 이 전략은 일반적으로 Linux 시스템에 배포되는 상대적으로 낮은 수준의 보안 조치를 활용하여 공격자가 기반을 강화하고 장기간 은밀하게 활동할 수 있도록 합니다.