DinodasRAT
一種名為 DinodasRAT 的跨平台後門已經在野外出現,專門針對中國、台灣、土耳其和烏茲別克等地區。 DinodasRAT 也被稱為 XDealer,在 Linux 系統上運行,並採用 C++ 構建,能夠從受感染的機器中提取各種敏感資料。
2023 年10 月,調查人員披露,圭亞那的一個政府機構遭到圍攻,這是一項名為「水雉行動」的網路間諜活動的一部分,該活動的重點是部署這種威脅植入程式的Windows版本。 2024 年 3 月下旬,研究人員概述了一系列名為 Earth Krahang 的威脅活動,自 2023 年以來,該活動顯然已轉變為使用 DinodasRAT 進行攻擊,目標是全球眾多政府實體。
目錄
DinodasRAT 一直由網路犯罪分子不斷開發
DinodasRAT 的使用被歸咎於包括珞瑜在內的多個與中國有聯繫的威脅行為者,這再次反映出被認為代表國家行事的駭客團隊之間普遍存在的工具共享現象。
研究人員於2023 年10 月初偶然發現了該惡意軟體的Linux 版本(V10)。迄今為止收集的證據表明,第一個已知變體(V7) 可以追溯到2021 年7 月。此後於11 月偵測到了下一代版本(V11) 2023 年。
它主要針對基於 Red Hat 的發行版和 Ubuntu Linux。執行後,它透過使用 SystemV 或 SystemD 啟動腳本在主機上建立持久性。它會定期透過 TCP 或 UDP 聯繫遠端伺服器以取得要執行的命令。
DinodasRAT 是一種複雜的威脅,具有多種入侵能力
DinodasRAT 配備了多種功能,包括檔案操作、更改命令和控制 (C2) 位址、識別和終止活動進程、執行 shell 命令、取得後門的更新版本,甚至自我刪除。
為了避免被調試和監控工具偵測到,DinodasRAT 採用了規避技術。與 Windows 版本類似,它利用微型加密演算法 (TEA) 來加密 C2 通訊。
DinodasRAT 主要專注於透過 Linux 伺服器建立和維持訪問,而不是偵察。它運作高效,使操作員能夠完全控制受感染的系統,並促進資料竊取和間諜活動。
DinodasRAT 被認為起源於一個名為 SimpleRemoter 的開源項目,該項目植根於Gh0st RAT ,現已發展成為具有強大功能的全功能惡意軟體。 Linodas 等一些研究人員已經對新發現的 Linux 版本的威脅進行了追蹤。
DinodasRAT 的 Linux 變體已經出現
此威脅背後的個人表現出對 Linux 系統的高度熟練。他們支援該作業系統的決定不僅僅是使用條件編譯指令 (#ifdef) 改編 Windows 遠端存取木馬 (RAT)。相反,它涉及一個完全不同的項目,擁有自己的程式碼庫,可能由單獨的開發團隊管理。
後門的最新版本引入了新功能,包括為系統監控創建多個執行緒的能力、下載能夠破壞特定係統二進位檔案的補充模組以及在大約一小時後終止不活動的反向 shell 會話。
附加模組(稱為“過濾模組”)的主要目的是充當執行原始二進位檔案(例如“who”、“netstat”和“ps”等命令)並控制其輸出的代理。 。這使得威脅行為者能夠從主機中提取訊息,同時更有效地逃避偵測。
在這種威脅中觀察到的複雜性和擴展的功能突顯了威脅行為者持續關注 Linux 伺服器的攻擊目標。此類攻擊既可以建立持久存在,也可以作為受感染網路中的樞紐點。這種策略可能利用了 Linux 系統上通常部署的相對較低層級的安全措施,使攻擊者能夠加深其立足點並長期秘密行動。
