DinodasRAT
一种名为 DinodasRAT 的跨平台后门已在野外出现,专门针对中国、台湾、土耳其和乌兹别克斯坦等地区。DinodasRAT 也被称为 XDealer,在 Linux 系统上运行,使用 C++ 编写,能够从受感染的机器中提取各种敏感数据。
2023 年 10 月,调查人员透露,圭亚那的一个政府机构遭到围攻,这是一项名为“Jacana 行动”的网络间谍计划的一部分,该计划的重点是部署这种威胁植入物的 Windows 版本。2024 年 3 月下旬,研究人员概述了一组名为 Earth Krahang 的威胁活动,该活动显然已从 2023 年开始转向使用 DinodasRAT 进行攻击,目标是全球众多政府实体。
目录
DinodasRAT 不断受到网络犯罪分子的开发
DinodasRAT 的使用被认为是由多个与中国有联系的威胁行为者所为,其中包括 LuoYu,这再次反映出在被认定为代表国家的黑客团队中普遍存在的工具共享现象。
2023 年 10 月初,研究人员偶然发现了该恶意软件的 Linux 版本 (V10)。迄今为止收集的证据表明,第一个已知变体 (V7) 可以追溯到 2021 年 7 月。此后,下一代版本 (V11) 于 2023 年 11 月被发现。
它主要针对基于 Red Hat 的发行版和 Ubuntu Linux 而设计。执行后,它会使用 SystemV 或 SystemD 启动脚本在主机上建立持久性。它会定期通过 TCP 或 UDP 联系远程服务器以获取要运行的命令。
DinodasRAT 是一种具有多种入侵功能的复杂威胁
DinodasRAT 具有多种功能,包括文件操作、更改命令和控制 (C2) 地址、识别和终止活动进程、执行 shell 命令、获取后门的更新版本,甚至自我删除。
为了避免被调试和监控工具检测到,DinodasRAT 采用了规避技术。与 Windows 版本类似,它使用 Tiny Encryption Algorithm (TEA) 来加密 C2 通信。
DinodasRAT 主要侧重于通过 Linux 服务器建立和维持访问,而非侦察。它运行高效,使操作员能够完全控制受感染的系统,并便于数据窃取和间谍活动。
据信,DinodasRAT 源自一个名为 SimpleRemoter 的开源项目,该项目源于Gh0st RAT ,现已发展成为功能齐全、能力强大的恶意软件。新发现的威胁的 Linux 版本已被一些研究人员(如 Linodas)跟踪。
DinodasRAT 的 Linux 变体已经出现
此威胁背后的个人表现出对 Linux 系统的高度熟练。他们支持该操作系统的决定不仅仅是使用条件编译指令 (#ifdef) 改编 Windows 远程访问木马 (RAT)。相反,它涉及一个完全不同的项目,拥有自己的代码库,可能由单独的开发团队管理。
后门的最新版本引入了新功能,包括为系统监控创建多个线程的能力、下载能够破坏特定系统二进制文件的补充模块以及在大约一小时后终止不活动的反向 shell 会话。
附加模块(称为“过滤模块”)的主要目的是充当执行原始二进制文件(例如“who”、“netstat”和“ps”等命令)并控制其输出的代理。 。这使得威胁行为者能够从主机中提取信息,同时更有效地逃避检测。
在这种威胁中观察到的复杂性和扩展的功能突显了威胁行为者持续关注 Linux 服务器的攻击目标。此类攻击既可以建立持久存在,又可以作为受感染网络中的枢纽点。这种策略可能利用了 Linux 系统上通常部署的相对较低级别的安全措施,使攻击者能够加深其立足点并长期秘密行动。
