DinodasRAT
แบ็คดอร์ข้ามแพลตฟอร์มที่รู้จักกันในชื่อ DinodasRAT ได้ปรากฏตัวขึ้นในป่า โดยกำหนดเป้าหมายไปที่ภูมิภาคต่างๆ เช่น จีน ไต้หวัน ตุรกี และอุซเบกิสถาน DinodasRAT ซึ่งเป็นที่รู้จักในชื่อ XDealer ทำงานบนระบบ Linux และสร้างขึ้นใน C++ ซึ่งติดตั้งเพื่อดึงข้อมูลสำคัญที่หลากหลายจากเครื่องที่ถูกบุกรุก
ในเดือนตุลาคม พ.ศ. 2566 ผู้สืบสวนเปิดเผยว่าหน่วยงานของรัฐในกายอานาถูกปิดล้อม ซึ่งเป็นส่วนหนึ่งของโครงการริเริ่มจารกรรมทางไซเบอร์ที่เรียกว่า Operation Jacana โดยมุ่งเน้นที่การนำ Windows ซ้ำของการปลูกฝังที่เป็นอันตรายนี้ ในช่วงปลายเดือนมีนาคม พ.ศ. 2567 นักวิจัยได้สรุปกลุ่มกิจกรรมภัยคุกคามที่เรียกว่า Earth Krahang ซึ่งเห็นได้ชัดว่าได้เปลี่ยนไปใช้ DinodasRAT มาตั้งแต่ปี พ.ศ. 2566 ในการโจมตี โดยมุ่งเป้าไปที่หน่วยงานรัฐบาลหลายแห่งทั่วโลก
สารบัญ
DinodasRAT ได้รับการพัฒนาอย่างต่อเนื่องโดยอาชญากรไซเบอร์
การใช้ DinodasRAT มีสาเหตุมาจากผู้คุกคามจากจีน-Nexus หลายคน รวมถึง LuoYu ซึ่งสะท้อนถึงการแบ่งปันเครื่องมือที่แพร่หลายในหมู่ทีมงานแฮ็กที่ถูกระบุว่าทำหน้าที่ในนามของประเทศอีกครั้ง
นักวิจัยพบมัลแวร์เวอร์ชัน Linux (V10) เมื่อต้นเดือนตุลาคม 2566 หลักฐานที่รวบรวมได้แสดงให้เห็นว่าตัวแปรแรกที่รู้จัก (V7) มีอายุย้อนกลับไปในเดือนกรกฎาคม 2564 เวอร์ชันถัดไป (V11) ได้ถูกตรวจพบในเดือนพฤศจิกายน 2023.
ออกแบบมาเพื่อกำหนดเป้าหมายการแจกจ่ายแบบ Red Hat และ Ubuntu Linux เป็นหลัก เมื่อดำเนินการ จะสร้างความคงอยู่บนโฮสต์โดยใช้สคริปต์เริ่มต้นระบบ SystemV หรือ SystemD โดยจะติดต่อกับเซิร์ฟเวอร์ระยะไกลผ่าน TCP หรือ UDP เป็นระยะเพื่อดึงคำสั่งที่จะเรียกใช้
DinodasRAT เป็นภัยคุกคามที่ซับซ้อนและมีความสามารถล่วงล้ำมากมาย
DinodasRAT มาพร้อมกับความสามารถที่หลากหลาย รวมถึงการทำงานของไฟล์ การแก้ไขที่อยู่ Command-and-Control (C2) การระบุและการยุติกระบวนการที่ใช้งานอยู่ การรันคำสั่งเชลล์ การดึงข้อมูลแบ็คดอร์เวอร์ชันที่อัปเดต และแม้แต่การลบตัวเองออก
เพื่อหลีกเลี่ยงการตรวจจับโดยการดีบักและเครื่องมือตรวจสอบ DinodasRAT จึงใช้เทคนิคการหลีกเลี่ยง เช่นเดียวกับ Windows ที่ใช้ Tiny Encryption Algorithm (TEA) เพื่อเข้ารหัสการสื่อสาร C2
DinodasRAT มุ่งเน้นไปที่การสร้างและรักษาการเข้าถึงผ่านเซิร์ฟเวอร์ Linux เป็นหลักมากกว่าการลาดตระเวน มันทำงานอย่างมีประสิทธิภาพ โดยให้ผู้ปฏิบัติงานควบคุมระบบที่ถูกบุกรุกได้อย่างสมบูรณ์ และอำนวยความสะดวกในการโจรกรรมข้อมูลและการจารกรรมข้อมูล
เชื่อกันว่ามีต้นกำเนิดมาจากโครงการโอเพ่นซอร์สที่เรียกว่า SimpleRemoter ซึ่งมีรากฐานมาจาก Gh0st RAT DinodasRAT ได้พัฒนาเป็นมัลแวร์ที่ทำงานได้อย่างสมบูรณ์พร้อมความสามารถที่สำคัญ ภัยคุกคามเวอร์ชัน Linux ที่เพิ่งค้นพบได้รับการติดตามโดยนักวิจัยบางคน เช่น Linodas
DinodasRAT เวอร์ชัน Linux ปรากฏขึ้นแล้ว
บุคคลที่อยู่เบื้องหลังภัยคุกคามนี้แสดงให้เห็นถึงความเชี่ยวชาญสูงในระบบลีนุกซ์ การตัดสินใจสนับสนุนระบบปฏิบัติการนี้นอกเหนือไปจากการปรับเปลี่ยน Windows Remote Access Trojan (RAT) ด้วยคำสั่งการคอมไพล์แบบมีเงื่อนไข (#ifdef) แต่มันเกี่ยวข้องกับโปรเจ็กต์ที่แตกต่างอย่างสิ้นเชิงซึ่งมีโค้ดเบสของตัวเอง ซึ่งอาจจัดการโดยทีมพัฒนาที่แยกจากกัน
แบ็คดอร์ซ้ำล่าสุดนี้นำเสนอฟังก์ชันใหม่ รวมถึงความสามารถในการสร้างหลายเธรดสำหรับการตรวจสอบระบบ การดาวน์โหลดโมดูลเสริมที่สามารถรบกวนไบนารีของระบบเฉพาะ และการยกเลิกเซสชันเชลล์ย้อนกลับที่ไม่ได้ใช้งานหลังจากผ่านไปประมาณหนึ่งชั่วโมง
วัตถุประสงค์หลักของโมดูลเพิ่มเติมซึ่งเรียกว่า 'โมดูลตัวกรอง' คือเพื่อใช้เป็นพร็อกซีสำหรับการดำเนินการไบนารีดั้งเดิม (เช่น คำสั่งเช่น 'who' 'netstat' และ 'ps') และควบคุมเอาต์พุต . สิ่งนี้ช่วยให้ผู้คุกคามสามารถดึงข้อมูลจากโฮสต์ในขณะที่หลบเลี่ยงการตรวจจับได้อย่างมีประสิทธิภาพมากขึ้น
ความซับซ้อนและความสามารถที่เพิ่มขึ้นที่พบในภัยคุกคามนี้เน้นย้ำถึงการที่ผู้คุกคามมุ่งเป้าไปที่เซิร์ฟเวอร์ Linux อย่างต่อเนื่อง การโจมตีดังกล่าวทำหน้าที่ทั้งเพื่อสร้างสถานะที่คงอยู่และทำหน้าที่เป็นจุดเปลี่ยนภายในเครือข่ายที่ถูกบุกรุก กลยุทธ์นี้มีแนวโน้มที่จะใช้ประโยชน์จากมาตรการรักษาความปลอดภัยในระดับที่ต่ำกว่าซึ่งโดยทั่วไปจะใช้บนระบบ Linux ช่วยให้ผู้โจมตีสามารถเจาะลึกฐานรากและดำเนินการอย่างลับๆ เป็นระยะเวลานาน
