DinodasRAT Linux-version bruges i asiatiske lande
Sikkerhedsforskere afslørede fremkomsten af en Linux-iteration af DinodasRAT, en alsidig bagdørs-malware, der blev set i de vilde områder, herunder Kina, Taiwan, Tyrkiet og Usbekistan.
DinodasRAT, også kendt som XDealer, opererer i C++ og besidder evnen til at udtrække et bredt spektrum af følsomme data fra kompromitterede systemer.
I oktober 2023 afslørede forskere en cyberspionagekampagne, kaldet Operation Jacana, rettet mod en statslig enhed i Guyana ved hjælp af Windows-versionen af denne malware. Nyere rapporter fremhæver et skift i trusselsaktivitet til DinodasRAT, kodenavnet Earth Krahang, rettet mod forskellige regeringsorganer verden over siden 2023.
DinodasRAT knyttet til kinesiske APT'er
DinodasRATs Linux-variant (V10) tilskrives hovedsageligt Kina-associerede trusselsaktører som LuoYu, og blev først opdaget i begyndelsen af oktober 2023, med tidligere varianter, der går tilbage til juli 2021 (V7). En nyere version (V11) blev identificeret i november 2023.
Primært skræddersyet til Red Hat-baserede distributioner og Ubuntu Linux, ved udførelse etablerer DinodasRAT persistens via SystemV eller SystemD opstartsscripts, der kommunikerer med en fjernserver over TCP eller UDP til kommandohentning.
Denne bagdør er udstyret til at udføre filoperationer, ændre kommando-og-kontrol-adresser, administrere kørende processer, udføre shell-kommandoer, opdatere sig selv og selvdestruere. Den anvender taktikker til at undgå detektion, herunder kryptering af C2-kommunikation ved hjælp af Tiny Encryption Algorithm (TEA).
Forskere bemærker DinodasRATs fokus på at få og bevare adgang til Linux-servere frem for rekognoscering, hvilket letter fuldstændig kontrol med dataeksfiltrering og spionage.
Check Points analyse afslører DinodasRATs oprindelse i open source-projektet SimpleRemoter, der udvikler sig fra Gh0st RAT. Linux-varianten, kaldet Linodas, har funktioner som multi-threaded systemovervågning, hjælpemoduler til at interferere med systembinære filer og et filtermodul, der fungerer som en proxy til at kontrollere output fra originale binære filer for at undgå registrering og indsamle information fra værter.