DinodasRAT
Savvaļā ir parādījusies starpplatformu aizmugures durvis, kas pazīstamas kā DinodasRAT, īpaši mērķējot uz tādiem reģioniem kā Ķīna, Taivāna, Turcija un Uzbekistāna. Atzīts arī kā XDealer, DinodasRAT darbojas Linux sistēmās un ir iebūvēts C++, kas ir aprīkots, lai no apdraudētām iekārtām iegūtu dažādus sensitīvus datus.
2023. gada oktobrī izmeklētāji atklāja, ka Gajānas valdības iestāde ir bijusi aplenkta saistībā ar kiberspiegošanas iniciatīvu, ko sauc par operāciju Jacana, koncentrējoties uz šī draudošā implanta Windows iterācijas izvietošanu. 2024. gada marta beigās pētnieki ieskicēja draudu darbību kopu, kas pazīstama kā Earth Krahang un kas acīmredzami kopš 2023. gada ir pārgājusi uz DinodasRAT izmantošanu savos uzbrukumos, vēršoties pret daudzām valdības struktūrām visā pasaulē.
Satura rādītājs
DinodasRAT ir nepārtraukti attīstījuši kibernoziedznieki
DinodasRAT izmantošana tiek attiecināta uz dažādiem Ķīnas saiknes apdraudējuma dalībniekiem, tostarp LuoYu, kas vēlreiz atspoguļo rīku koplietošanu, kas izplatīta starp hakeru komandām, kuras identificētas kā tādas, kas darbojas valsts vārdā.
2023. gada oktobra sākumā pētnieki nejauši atklāja ļaunprātīgas programmatūras Linux versiju (V10). Līdz šim savāktie pierādījumi liecina, ka pirmais zināmais variants (V7) ir datēts ar 2021. gada jūliju. Kopš tā laika novembrī tika atklāta nākamās paaudzes versija (V11). 2023. gads.
Tas galvenokārt ir paredzēts, lai mērķētu uz Red Hat balstītiem izplatījumiem un Ubuntu Linux. Pēc izpildes tas nosaka resursdatora noturību, izmantojot SystemV vai SystemD startēšanas skriptus. Tas periodiski sazinās ar attālo serveri, izmantojot TCP vai UDP, lai ielādētu izpildāmās komandas.
DinodasRAT ir izsmalcināts drauds ar daudzām uzmācīgām iespējām
DinodasRAT ir aprīkots ar dažādām iespējām, tostarp failu operācijām, Command-and-Control (C2) adrešu maiņu, aktīvo procesu identificēšanu un pārtraukšanu, čaulas komandu izpildi, atjauninātu aizmugurējo durvju versiju ienešanu un pat pašizņemšanu.
Lai izvairītos no atklāšanas, izmantojot atkļūdošanas un uzraudzības rīkus, DinodasRAT izmanto izvairīšanās metodes. Līdzīgi kā Windows līdzinieks, tas izmanto Tiny Encryption Algorithm (TEA), lai šifrētu C2 sakarus.
DinodasRAT galvenokārt koncentrējas uz piekļuves izveidi un uzturēšanu, izmantojot Linux serverus, nevis izlūkošanu. Tas darbojas efektīvi, sniedzot operatoram pilnīgu kontroli pār apdraudēto sistēmu un atvieglojot datu zādzību un spiegošanu.
Tiek uzskatīts, ka DinodasRAT pamatā ir atvērtā pirmkoda projekts, kas pazīstams kā SimpleRemoter un kura saknes ir Gh0st RAT , un tas ir kļuvis par pilnībā funkcionējošu ļaunprātīgu programmatūru ar ievērojamām iespējām. Daži pētnieki, piemēram, Linodas, ir izsekojuši nesen atklāto apdraudējuma Linux versiju.
Ir parādījies DinodasRAT Linux variants
Personas, kas slēpjas aiz šiem draudiem, demonstrē augstu Linux sistēmu zināšanas. Viņu lēmums atbalstīt šo operētājsistēmu pārsniedz vienkāršu Windows attālās piekļuves Trojas zirga (RAT) pielāgošanu ar nosacījumu kompilācijas direktīvām (#ifdef). Drīzāk tas ietver pilnīgi atšķirīgu projektu ar savu kodu bāzi, ko, iespējams, pārvalda atsevišķa izstrādes komanda.
Šī jaunākā aizmugures durvju iterācija ievieš jaunas funkcijas, tostarp iespēju izveidot vairākus pavedienus sistēmas uzraudzībai, lejupielādēt papildu moduļus, kas spēj izjaukt noteiktus sistēmas bināros failus, un pārtraukt neaktīvas reversās čaulas sesijas pēc aptuveni vienas stundas.
Papildu moduļa, saukta par "filtra moduli", galvenais mērķis ir kalpot par starpniekserveri oriģinālo bināro failu izpildei (piemēram, komandu, piemēram, "who", "netstat" un "ps") un to izvades kontrolei. . Tas ļauj apdraudējuma dalībniekiem iegūt informāciju no resursdatora, vienlaikus efektīvāk izvairoties no atklāšanas.
Sarežģītība un paplašinātās iespējas, kas novērotas šajā apdraudējumā, uzsver draudu dalībnieku pastāvīgo uzmanību uz Linux serveriem. Šādi uzbrukumi kalpo gan pastāvīgas klātbūtnes noteikšanai, gan kā pagrieziena punkts apdraudētajos tīklos. Šī stratēģija, visticamāk, gūst labumu no salīdzinoši zemākā līmeņa drošības pasākumiem, kas parasti tiek izvietoti Linux sistēmās, ļaujot uzbrucējiem nostiprināt savu pozīciju un ilgstoši darboties slepeni.
