Έκδοση Linux DinodasRAT που χρησιμοποιείται σε ασιατικές χώρες

Ερευνητές ασφαλείας αποκάλυψαν την εμφάνιση μιας επανάληψης Linux του DinodasRAT, ενός ευέλικτου backdoor malware, που εντοπίστηκε στις άγριες περιοχές στόχευσης, όπως η Κίνα, η Ταϊβάν, η Τουρκία και το Ουζμπεκιστάν.

Το DinodasRAT, γνωστό και ως XDealer, λειτουργεί σε C++ και διαθέτει τη δυνατότητα εξαγωγής ενός ευρέος φάσματος ευαίσθητων δεδομένων από παραβιασμένα συστήματα.

Τον Οκτώβριο του 2023, οι ερευνητές αποκάλυψαν μια εκστρατεία κατασκοπείας στον κυβερνοχώρο, με την ονομασία Operation Jacana, με στόχο μια κυβερνητική οντότητα στη Γουιάνα που χρησιμοποιεί την έκδοση Windows αυτού του κακόβουλου λογισμικού. Οι νεότερες αναφορές υπογραμμίζουν μια μετατόπιση της δραστηριότητας απειλών προς το DinodasRAT, με την κωδική ονομασία Earth Krahang, που στοχεύει διάφορους κυβερνητικούς φορείς παγκοσμίως από το 2023.

Το DinodasRAT συνδέεται με κινεζικά APT

Αποδίδεται κυρίως σε παράγοντες απειλών που σχετίζονται με την Κίνα, όπως ο LuoYu, η παραλλαγή Linux (V10) της DinodasRAT εντοπίστηκε για πρώτη φορά στις αρχές Οκτωβρίου 2023, με παλαιότερες παραλλαγές να χρονολογούνται από τον Ιούλιο του 2021 (V7). Μια νεότερη έκδοση (V11) εντοπίστηκε τον Νοέμβριο του 2023.

Προσαρμοσμένο κυρίως για διανομές που βασίζονται σε Red Hat και Ubuntu Linux, κατά την εκτέλεση, το DinodasRAT καθιερώνει επιμονή μέσω σεναρίων εκκίνησης SystemV ή SystemD, επικοινωνώντας με έναν απομακρυσμένο διακομιστή μέσω TCP ή UDP για ανάκτηση εντολών.

Αυτή η κερκόπορτα είναι εξοπλισμένη για να εκτελεί λειτουργίες αρχείων, να αλλάζει διευθύνσεις εντολών και ελέγχου, να διαχειρίζεται τις τρέχουσες διαδικασίες, να εκτελεί εντολές φλοιού, να ενημερώνεται και να αυτοκαταστρέφεται. Χρησιμοποιεί τακτικές για να αποφύγει τον εντοπισμό, συμπεριλαμβανομένης της κρυπτογράφησης των επικοινωνιών C2 χρησιμοποιώντας τον αλγόριθμο κρυπτογράφησης Tiny (TEA).

Οι ερευνητές σημειώνουν την εστίαση του DinodasRAT στην απόκτηση και διατήρηση πρόσβασης σε διακομιστές Linux παρά στην αναγνώριση, διευκολύνοντας τον πλήρη έλεγχο για την εξαγωγή δεδομένων και την κατασκοπεία.

Η ανάλυση του Check Point αποκαλύπτει την προέλευση του DinodasRAT στο έργο ανοιχτού κώδικα SimpleRemoter, που εξελίσσεται από το Gh0st RAT. Η παραλλαγή Linux, που ονομάζεται Linodas, διαθέτει δυνατότητες όπως παρακολούθηση συστήματος πολλαπλών νημάτων, βοηθητικές μονάδες για παρεμβολές στα δυαδικά αρχεία συστήματος και μια μονάδα φίλτρου που λειτουργεί ως διακομιστής μεσολάβησης για τον έλεγχο της εξόδου από τα αρχικά δυαδικά αρχεία για την αποφυγή εντοπισμού και συλλογής πληροφοριών από κεντρικούς υπολογιστές.