Version Linux de DinodasRAT utilisée dans les pays asiatiques
Les chercheurs en sécurité ont révélé l'émergence d'une itération Linux de DinodasRAT, un malware polyvalent de porte dérobée, repéré dans la nature et ciblant des régions telles que la Chine, Taiwan, la Turquie et l'Ouzbékistan.
DinodasRAT, également connu sous le nom de XDealer, fonctionne en C++ et possède la capacité d'extraire un large spectre de données sensibles à partir de systèmes compromis.
En octobre 2023, des chercheurs ont découvert une campagne de cyberespionnage, appelée Opération Jacana, ciblant une entité gouvernementale en Guyane utilisant la version Windows de ce malware. Des rapports plus récents mettent en évidence un changement d’activité de menace vers DinodasRAT, nom de code Earth Krahang, ciblant divers organismes gouvernementaux dans le monde depuis 2023.
DinodasRAT lié aux APT chinois
Attribuée principalement à des acteurs de menace associés à la Chine comme LuoYu, la variante Linux de DinodasRAT (V10) a été détectée pour la première fois début octobre 2023, les variantes antérieures remontant à juillet 2021 (V7). Une version plus récente (V11) a été identifiée en novembre 2023.
Principalement conçu pour les distributions basées sur Red Hat et Ubuntu Linux, lors de son exécution, DinodasRAT établit la persistance via des scripts de démarrage SystemV ou SystemD, communiquant avec un serveur distant via TCP ou UDP pour la récupération des commandes.
Cette porte dérobée est équipée pour effectuer des opérations sur les fichiers, modifier les adresses de commande et de contrôle, gérer les processus en cours, exécuter des commandes shell, se mettre à jour et s'autodétruire. Il utilise des tactiques pour échapper à la détection, notamment le cryptage des communications C2 à l'aide du Tiny Encryption Algorithm (TEA).
Les chercheurs notent que DinodasRAT se concentre sur l'obtention et la conservation de l'accès aux serveurs Linux plutôt que sur la reconnaissance, facilitant ainsi un contrôle complet de l'exfiltration et de l'espionnage des données.
L'analyse de Check Point révèle les origines de DinodasRAT dans le projet open source SimpleRemoter, évoluant de Gh0st RAT. La variante Linux, nommée Linodas, propose des fonctionnalités telles que la surveillance du système multithread, des modules auxiliaires pour interférer avec les binaires du système et un module de filtre agissant comme un proxy pour contrôler la sortie des binaires d'origine afin d'échapper à la détection et de collecter des informations auprès des hôtes.