DinodasRAT
Laukinėje gamtoje atsirado kelių platformų užpakalinės durys, žinomos kaip DinodasRAT, konkrečiai skirtos tokiems regionams kaip Kinija, Taivanas, Turkija ir Uzbekistanas. Taip pat žinomas kaip XDealer, „DinodasRAT“ veikia „Linux“ sistemose ir yra sukurtas C++, kuris yra pritaikytas išgauti įvairius neskelbtinus duomenis iš pažeistų mašinų.
2023 m. spalio mėn. tyrėjai atskleidė, kad vyriausybinė institucija Gajanoje buvo apgulta vykdydama kibernetinio šnipinėjimo iniciatyvą, pavadintą „Operation Jacana“, daugiausia dėmesio skiriant šio grėsmingo implanto „Windows“ iteracijos diegimui. 2024 m. kovo pabaigoje mokslininkai apibūdino grėsmės veiklos grupę, vadinamą „Earth Krahang“, kuri, matyt, nuo 2023 m. perėjo prie DinodasRAT panaudojimo savo puolimuose, nukreiptuose į daugybę vyriausybinių subjektų visame pasaulyje.
Turinys
DinodasRAT nuolatos kūrė kibernetiniai nusikaltėliai
DinodasRAT naudojimas buvo priskirtas įvairiems su Kinija susijusiems grėsmės veikėjams, įskaitant LuoYu, ir tai dar kartą atspindi įsilaužimo įgulų, veikiančių šalies vardu, dalijimąsi įrankiais.
2023 m. spalio pradžioje mokslininkai aptiko kenkėjiškos programos Linux versiją (V10). Iki šiol surinkti įrodymai rodo, kad pirmasis žinomas variantas (V7) datuojamas 2021 m. liepos mėn. Lapkričio mėnesį buvo aptikta naujos kartos versija (V11). 2023 m.
Jis daugiausia skirtas „Red Hat“ pagrindu veikiantiems platinimams ir „Ubuntu Linux“. Vykdant jis nustato pagrindinio kompiuterio patvarumą naudodamas SystemV arba SystemD paleisties scenarijus. Jis periodiškai susisiekia su nuotoliniu serveriu per TCP arba UDP, kad gautų komandas, kurias reikia vykdyti.
DinodasRAT yra sudėtinga grėsmė, turinti daug įkyrių galimybių
„DinodasRAT“ yra aprūpintas įvairiomis galimybėmis, įskaitant failų operacijas, komandų ir valdymo (C2) adresų keitimą, aktyvių procesų identifikavimą ir nutraukimą, apvalkalo komandų vykdymą, atnaujintų galinių durų versijų gavimą ir netgi savarankišką pašalinimą.
Kad išvengtų aptikimo naudojant derinimo ir stebėjimo įrankius, DinodasRAT naudoja vengimo metodus. Panašiai kaip „Windows“ analogas, jis naudoja Tiny Encryption Algorithm (TEA), kad užšifruotų C2 ryšį.
„DinodasRAT“ daugiausia dėmesio skiria prieigos nustatymui ir palaikymui per „Linux“ serverius, o ne žvalgybą. Jis veikia efektyviai, suteikdamas operatoriui visišką pažeistos sistemos kontrolę ir palengvindamas duomenų vagystę bei šnipinėjimą.
Manoma, kad DinodasRAT kilo iš atvirojo kodo projekto, žinomo kaip SimpleRemoter, kurio šaknys yra Gh0st RAT , todėl DinodasRAT tapo visiškai funkcionalia kenkėjiška programa, turinčia reikšmingų galimybių. Naujai atrastą grėsmės Linux versiją stebėjo kai kurie tyrinėtojai, pavyzdžiui, Linodas.
Atsirado DinodasRAT Linux variantas
Šios grėsmės asmenys demonstruoja aukštus Linux sistemų įgūdžius. Jų sprendimas palaikyti šią operacinę sistemą neapsiriboja vien tik Windows nuotolinės prieigos Trojos arklys (RAT) pritaikymu su sąlyginėmis kompiliavimo direktyvomis (#ifdef). Atvirkščiai, tai apima visiškai atskirą projektą su savo kodų baze, kurį galbūt valdys atskira kūrimo komanda.
Ši naujausia galinių durų iteracija pristato naujas funkcijas, įskaitant galimybę sukurti kelias sistemos stebėjimo gijas, atsisiųsti papildomus modulius, galinčius sutrikdyti konkrečius sistemos dvejetainius failus, ir nutraukti neaktyvius atvirkštinio apvalkalo seansus po maždaug vienos valandos.
Pagrindinė papildomo modulio, vadinamo „filtro moduliu“, paskirtis yra tarnauti kaip tarpinis serveris vykdant originalius dvejetainius failus (pvz., komandas, pvz., „who“, „netstat“ ir „ps“) ir valdyti jų išvestį. . Tai leidžia grėsmės veikėjams išgauti informaciją iš pagrindinio kompiuterio ir efektyviau išvengti aptikimo.
Dėl šios grėsmės pastebėtas sudėtingumas ir išplėstos galimybės pabrėžia nuolatinį grėsmės veikėjų dėmesį nukreipiant į Linux serverius. Tokios atakos padeda užtikrinti nuolatinį buvimą ir tarnauti kaip sukimosi taškas pažeistuose tinkluose. Ši strategija greičiausiai išnaudoja palyginti žemesnio lygio saugumo priemones, paprastai naudojamas Linux sistemose, leidžiančias užpuolikams įsitvirtinti ir veikti slaptai ilgą laiką.
