DinodasRAT
Zakulisna vrata med platformami, znana kot DinodasRAT, so se pojavila v naravi in ciljajo posebej na regije, kot so Kitajska, Tajvan, Turčija in Uzbekistan. DinodasRAT, prepoznan tudi kot XDealer, deluje v sistemih Linux in je zgrajen v C++, ki je opremljen za pridobivanje raznolikih nizov občutljivih podatkov iz ogroženih strojev.
Oktobra 2023 so preiskovalci razkrili, da je vladni organ v Gvajani oblegan v okviru pobude za kibernetsko vohunjenje, imenovane Operacija Jacana, ki se osredotoča na uvedbo ponovitve sistema Windows tega grozečega vsadka. Konec marca 2024 so raziskovalci orisali skupino groženjskih dejavnosti, znanih kot Earth Krahang, ki je očitno prešla na uporabo DinodasRAT od leta 2023 v svojih napadih, ciljajoč na številne vladne subjekte po vsem svetu.
Kazalo
DinodasRAT nenehno razvijajo kibernetski kriminalci
Uporabo DinodasRAT so pripisali različnim akterjem groženj Kitajske-neksusa, vključno z LuoYujem, kar ponovno odraža skupno uporabo orodij, ki prevladuje med hekerskimi ekipami, za katere je bilo ugotovljeno, da delujejo v imenu države.
Raziskovalci so v začetku oktobra 2023 naleteli na različico zlonamerne programske opreme za Linux (V10). Doslej zbrani dokazi kažejo, da prva znana različica (V7) izvira iz julija 2021. Različica naslednje generacije (V11) je bila odkrita novembra. 2023.
Zasnovan je predvsem za distribucije, ki temeljijo na Red Hat, in Ubuntu Linux. Po izvedbi vzpostavi obstojnost na gostitelju z uporabo zagonskih skriptov SystemV ali SystemD. Občasno vzpostavi stik z oddaljenim strežnikom prek TCP ali UDP, da pridobi ukaze, ki jih je treba izvesti.
DinodasRAT je prefinjena grožnja s številnimi vsiljivimi zmožnostmi
DinodasRAT je opremljen z različnimi zmožnostmi, vključno z operacijami datotek, spreminjanjem naslovov ukazov in nadzora (C2), prepoznavanjem in zaključkom aktivnih procesov, izvajanjem ukazov lupine, pridobivanjem posodobljenih različic stranskih vrat in celo samoodstranitvijo.
Da bi se izognili odkrivanju z orodji za odpravljanje napak in spremljanje, DinodasRAT uporablja tehnike izogibanja. Podobno kot njegov dvojnik Windows uporablja algoritem drobnega šifriranja (TEA) za šifriranje komunikacij C2.
DinodasRAT se osredotoča predvsem na vzpostavitev in vzdrževanje dostopa prek strežnikov Linux in ne na izvidovanje. Deluje učinkovito, operaterju zagotavlja popoln nadzor nad ogroženim sistemom in omogoča krajo podatkov in vohunjenje.
Menijo, da izvira iz odprtokodnega projekta, znanega kot SimpleRemoter, ki je zakoreninjen v Gh0st RAT , DinodasRAT se je razvil v popolnoma delujočo zlonamerno programsko opremo z velikimi zmogljivostmi. Nekateri raziskovalci, kot je Linodas, so sledili novoodkriti različici grožnje za Linux.
Pojavila se je različica DinodasRAT za Linux
Posamezniki, ki stojijo za to grožnjo, dokazujejo visoko usposobljenost za sisteme Linux. Njihova odločitev o podpori tega operacijskega sistema presega zgolj prilagoditev trojanskega konja Windows za oddaljeni dostop (RAT) z direktivami pogojnega prevajanja (#ifdef). Namesto tega vključuje popolnoma ločen projekt z lastno kodno zbirko, ki jo po možnosti upravlja ločena razvojna ekipa.
Ta najnovejša ponovitev backdoorja uvaja nove funkcionalnosti, vključno z možnostjo ustvarjanja več niti za nadzor sistema, nalaganjem dodatnih modulov, ki lahko prekinejo določene sistemske binarne datoteke, in prekinitvijo neaktivnih sej povratne lupine po približno eni uri.
Primarni namen dodatnega modula, imenovanega 'modul filtra', je služiti kot posrednik za izvajanje izvirnih binarnih datotek (npr. ukazov, kot so 'who,' 'netstat' in 'ps') in nadzor njihovega izhoda . To omogoča akterjem groženj, da pridobijo informacije iz gostitelja, hkrati pa se učinkoviteje izognejo odkrivanju.
Sofisticiranost in razširjene zmogljivosti, opažene pri tej grožnji, poudarjajo stalno osredotočenost akterjev groženj na ciljanje strežnikov Linux. Takšni napadi služijo tako za vzpostavitev stalne prisotnosti kot za središče znotraj ogroženih omrežij. Ta strategija verjetno izkorišča sorazmerno nižjo raven varnostnih ukrepov, ki se običajno uporabljajo v sistemih Linux, kar napadalcem omogoča, da poglobijo svoje oporišče in prikrito delujejo dlje časa.
