Az ázsiai országokban használt DinodasRAT Linux-verzió

Biztonsági kutatók felfedték a DinodasRAT Linux-iterációjának megjelenését, amely egy sokoldalú hátsó ajtók rosszindulatú programja, amelyet olyan vad célterületeken észleltek, mint Kína, Tajvan, Törökország és Üzbegisztán.

A DinodasRAT, más néven XDealer, C++ nyelven működik, és képes az érzékeny adatok széles spektrumának kinyerésére a feltört rendszerekből.

2023 októberében a kutatók feltártak egy kiberkémkedési kampányt, az Operation Jacana nevet, amely egy Guyanában működő kormányzati szervezetet céloz meg a kártevő Windows-verzióját használva. Az újabb jelentések rávilágítanak arra, hogy a fenyegetési tevékenység a DinodasRAT-ra (Earth Krahang) került, amely 2023 óta világszerte különböző kormányzati szerveket céloz meg.

A DinodasRAT a kínai APT-ekhez kapcsolódik

A DinodasRAT Linux-változatát (V10) 2023 októberének elején észlelték, a korábbi változatok pedig 2021 júliusáig nyúlnak vissza (V7), amelyet főleg Kínával kapcsolatos fenyegetés szereplőinek tulajdonítottak, mint például a LuoYu. 2023 novemberében egy újabb verziót (V11) azonosítottak.

Elsősorban Red Hat-alapú disztribúciókra és Ubuntu Linuxra szabva, a DinodasRAT végrehajtása során a SystemV vagy SystemD indítószkripteken keresztül állandóságot hoz létre, és TCP-n vagy UDP-n keresztül kommunikál egy távoli szerverrel a parancslekéréshez.

Ez a hátsó ajtó alkalmas fájlműveletek végrehajtására, parancs- és vezérlési címek megváltoztatására, futó folyamatok kezelésére, shell-parancsok végrehajtására, önmaga frissítésére és önmegsemmisítésére. Az észlelés elkerülésére szolgáló taktikákat alkalmaz, beleértve a C2 kommunikáció titkosítását a Tiny Encryption Algorithm (TEA) segítségével.

A kutatók megjegyzik, hogy a DinodasRAT a Linux szerverekhez való hozzáférés megszerzésére és megtartására összpontosít, nem pedig a felderítésre, ami megkönnyíti az adatok kiszűrésének és kémkedésének teljes ellenőrzését.

A Check Point elemzése feltárja a DinodasRAT eredetét a SimpleRemoter nyílt forráskódú projektben, amely a Gh0st RAT-ból fejlődött ki. A Linodas névre keresztelt Linux-változat olyan képességekkel rendelkezik, mint a többszálú rendszerfigyelés, a rendszer bináris fájljaiba való beavatkozást segítő segédmodulok, valamint egy szűrőmodul, amely proxyként működik az eredeti binárisok kimenetének vezérléséhez, hogy elkerülje az észlelést és információkat gyűjtsön a gazdagépektől.