DinodasRAT
O ușă din spate multi-platformă cunoscută sub numele de DinodasRAT a apărut în sălbăticie, vizând în special regiuni precum China, Taiwan, Turcia și Uzbekistan. Recunoscut și ca XDealer, DinodasRAT operează pe sisteme Linux și este construit în C++, care este echipat pentru a extrage o gamă variată de date sensibile de pe mașinile compromise.
În octombrie 2023, anchetatorii au dezvăluit că un organism guvernamental din Guyana era sub asediu ca parte a unei inițiative de spionaj cibernetic numită Operațiunea Jacana, concentrându-se pe implementarea iterației Windows a acestui implant amenințător. La sfârșitul lunii martie 2024, cercetătorii au evidențiat un grup de activități de amenințare cunoscut sub numele de Earth Krahang, care se pare că a trecut la angajarea DinodasRAT din 2023 în atacurile sale, vizând numeroase entități guvernamentale de pe tot globul.
Cuprins
DinodasRAT a fost dezvoltat continuu de criminali cibernetici
Utilizarea DinodasRAT a fost atribuită diverșilor actori ai amenințărilor din China-nexus, inclusiv LuoYu, reflectând din nou schimbul de instrumente predominant între echipele de hacking identificate ca acționând în numele țării.
Cercetătorii au dat peste o versiune Linux a malware-ului (V10) la începutul lunii octombrie 2023. Dovezile adunate până acum arată că prima variantă cunoscută (V7) datează din iulie 2021. O versiune de generație următoare (V11) a fost detectată de atunci în noiembrie. 2023.
Este conceput în principal pentru a viza distribuțiile bazate pe Red Hat și Ubuntu Linux. La execuție, stabilește persistența pe gazdă utilizând scripturi de pornire SystemV sau SystemD. Contactează periodic un server la distanță prin TCP sau UDP pentru a prelua comenzile care urmează să fie executate.
DinodasRAT este o amenințare sofisticată cu numeroase capacități intruzive
DinodasRAT vine echipat cu o varietate de capabilități, inclusiv operațiuni cu fișiere, modificarea adreselor de comandă și control (C2), identificarea și terminarea proceselor active, executarea comenzilor shell, preluarea versiunilor actualizate ale ușii din spate și chiar auto-eliminarea.
Pentru a evita detectarea prin instrumente de depanare și monitorizare, DinodasRAT folosește tehnici de evaziune. Similar cu omologul său Windows, utilizează algoritmul de criptare Tiny (TEA) pentru a cripta comunicațiile C2.
DinodasRAT se concentrează în primul rând pe stabilirea și susținerea accesului prin servere Linux, mai degrabă decât pe recunoaștere. Funcționează eficient, oferind operatorului control total asupra sistemului compromis și facilitând furtul de date și spionajul.
Se crede că provine dintr-un proiect open-source cunoscut sub numele de SimpleRemoter, care are rădăcinile în Gh0st RAT , DinodasRAT a evoluat într-un malware complet funcțional, cu capacități semnificative. Versiunea Linux recent descoperită a amenințării a fost urmărită de unii cercetători, cum ar fi Linodas.
A apărut o variantă Linux a DinodasRAT
Indivizii din spatele acestei amenințări demonstrează o competență ridicată în sistemele Linux. Decizia lor de a susține acest sistem de operare depășește o simplă adaptare a unui troian Windows Remote Access (RAT) cu directive de compilare condiționată (#ifdef). Mai degrabă, implică un proiect complet distinct cu propria bază de cod, eventual gestionat de o echipă de dezvoltare separată.
Această ultimă iterație a ușii din spate introduce noi funcționalități, inclusiv capacitatea de a crea mai multe fire de execuție pentru monitorizarea sistemului, descărcarea de module suplimentare capabile să perturbe sisteme binare specifice și încheierea sesiunilor reverse shell inactive după aproximativ o oră.
Scopul principal al modulului suplimentar, denumit „modul de filtrare”, este acela de a servi ca proxy pentru executarea binarelor originale (de exemplu, comenzi precum „cine”, „netstat” și „ps”) și pentru a controla ieșirea acestora. . Acest lucru le permite actorilor de amenințări să extragă informații de la gazdă, evitând în același timp detectarea mai eficient.
Rafinamentul și capacitățile extinse observate în această amenințare subliniază concentrarea continuă a actorilor amenințărilor asupra țintirii serverelor Linux. Astfel de atacuri servesc atât pentru a stabili o prezență persistentă, cât și pentru a servi ca punct pivot în cadrul rețelelor compromise. Această strategie valorifică probabil nivelul comparativ mai scăzut al măsurilor de securitate implementate în mod obișnuit pe sistemele Linux, permițând atacatorilor să-și adâncească punctul de vedere și să opereze pe ascuns perioade lungi.
