DinodasRAT
Pintu belakang merentas platform yang dikenali sebagai DinodasRAT telah muncul di alam liar, khususnya menyasarkan wilayah seperti China, Taiwan, Turki dan Uzbekistan. Juga diiktiraf sebagai XDealer, DinodasRAT beroperasi pada sistem Linux dan dibina dalam C++, yang dilengkapi untuk mengekstrak pelbagai data sensitif daripada mesin yang terjejas.
Pada Oktober 2023, penyiasat mendedahkan bahawa sebuah badan kerajaan di Guyana sedang dikepung sebagai sebahagian daripada inisiatif pengintipan siber yang dinamakan Operation Jacana, memfokuskan pada menggunakan lelaran Windows bagi implan yang mengancam ini. Pada penghujung Mac 2024, penyelidik menggariskan sekumpulan aktiviti ancaman yang dikenali sebagai Earth Krahang, yang nampaknya telah beralih kepada menggunakan DinodasRAT sejak 2023 dalam serangannya, menyasarkan banyak entiti kerajaan di seluruh dunia.
Isi kandungan
DinodasRAT Telah Terus Dibangunkan oleh Penjenayah Siber
Penggunaan DinodasRAT telah dikaitkan dengan pelbagai pelakon ancaman China-nexus, termasuk LuoYu, sekali lagi mencerminkan perkongsian alat yang lazim dalam kalangan krew penggodaman yang dikenal pasti bertindak bagi pihak negara.
Penyelidik terjumpa versi Linux perisian hasad (V10) pada awal Oktober 2023. Bukti yang dikumpul setakat ini menunjukkan bahawa varian pertama yang diketahui (V7) bermula pada Julai 2021. Versi generasi seterusnya (V11) telah dikesan pada November 2023.
Ia direka terutamanya untuk menyasarkan pengedaran berasaskan Red Hat dan Ubuntu Linux. Selepas pelaksanaan, ia mewujudkan kegigihan pada hos dengan menggunakan skrip permulaan SystemV atau SystemD. Ia secara berkala menghubungi pelayan jauh melalui TCP atau UDP untuk mengambil arahan untuk dijalankan.
DinodasRAT Adalah Ancaman Canggih dengan Pelbagai Keupayaan Menceroboh
DinodasRAT dilengkapi dengan pelbagai keupayaan, termasuk operasi fail, mengubah alamat Command-and-Control (C2), mengenal pasti dan menamatkan proses aktif, melaksanakan arahan shell, mengambil versi pintu belakang yang dikemas kini dan juga mengalih keluar sendiri.
Untuk mengelakkan pengesanan dengan alat penyahpepijat dan pemantauan, DinodasRAT menggunakan teknik pengelakan. Sama seperti rakan Windowsnya, ia menggunakan Algoritma Penyulitan Kecil (TEA) untuk menyulitkan komunikasi C2.
DinodasRAT terutamanya menumpukan pada mewujudkan dan mengekalkan akses melalui pelayan Linux dan bukannya peninjauan. Ia beroperasi dengan cekap, memberikan pengendali kawalan penuh ke atas sistem yang terjejas dan memudahkan kecurian data dan pengintipan.
Dipercayai berasal daripada projek sumber terbuka yang dikenali sebagai SimpleRemoter, yang berakar pada Gh0st RAT , DinodasRAT telah berkembang menjadi perisian hasad berfungsi sepenuhnya dengan keupayaan yang ketara. Versi ancaman Linux yang baru ditemui telah dijejaki oleh beberapa penyelidik, seperti Linodas.
Varian Linux DinodasRAT Telah Muncul
Individu di sebalik ancaman ini menunjukkan kecekapan tinggi dalam sistem Linux. Keputusan mereka untuk menyokong sistem pengendalian ini melangkaui sekadar penyesuaian Windows Remote Access Trojan (RAT) dengan arahan kompilasi bersyarat (#ifdef). Sebaliknya, ia melibatkan projek yang sama sekali berbeza dengan pangkalan kodnya sendiri, mungkin diuruskan oleh pasukan pembangunan yang berasingan.
Lelaran terbaharu pintu belakang ini memperkenalkan fungsi baharu, termasuk keupayaan untuk mencipta berbilang rangkaian untuk pemantauan sistem, memuat turun modul tambahan yang mampu mengganggu perduaan sistem tertentu dan menamatkan sesi cangkerang terbalik yang tidak aktif selepas kira-kira satu jam.
Tujuan utama modul tambahan, yang dirujuk sebagai 'modul penapis,' adalah untuk berfungsi sebagai proksi untuk melaksanakan perduaan asal (cth, arahan seperti 'siapa', 'netstat' dan 'ps') dan mengawal outputnya . Ini membolehkan pelaku ancaman mengekstrak maklumat daripada hos sambil mengelak pengesanan dengan lebih berkesan.
Kecanggihan dan keupayaan yang diperluaskan yang diperhatikan dalam ancaman ini menggariskan fokus berterusan pelaku ancaman pada menyasarkan pelayan Linux. Serangan sedemikian berfungsi untuk mewujudkan kehadiran yang berterusan dan berfungsi sebagai titik pangsi dalam rangkaian yang terjejas. Strategi ini berkemungkinan memanfaatkan tahap langkah keselamatan yang lebih rendah yang biasanya digunakan pada sistem Linux, membolehkan penyerang memperdalam kedudukan mereka dan beroperasi secara rahsia untuk tempoh yang panjang.
