Versione Linux DinodasRAT utilizzata nei paesi asiatici
I ricercatori di sicurezza hanno rivelato l’emergere di un’iterazione Linux di DinodasRAT, un versatile malware backdoor, individuato in aree selvagge che prendono di mira regioni tra cui Cina, Taiwan, Turchia e Uzbekistan.
DinodasRAT, noto anche come XDealer, opera in C++ e possiede la capacità di estrarre un ampio spettro di dati sensibili da sistemi compromessi.
Nell'ottobre 2023, i ricercatori hanno scoperto una campagna di spionaggio informatico, denominata Operazione Jacana, che prendeva di mira un ente governativo in Guyana utilizzando la versione Windows di questo malware. Rapporti più recenti evidenziano uno spostamento dell’attività di minaccia verso DinodasRAT, nome in codice Earth Krahang, che prende di mira vari enti governativi in tutto il mondo a partire dal 2023.
DinodasRAT collegato agli APT cinesi
Attribuita principalmente ad autori di minacce associati alla Cina come LuoYu, la variante Linux di DinodasRAT (V10) è stata rilevata per la prima volta all'inizio di ottobre 2023, mentre le varianti precedenti risalgono a luglio 2021 (V7). Una versione più recente (V11) è stata identificata nel novembre 2023.
Progettato principalmente per distribuzioni basate su Red Hat e Ubuntu Linux, al momento dell'esecuzione, DinodasRAT stabilisce la persistenza tramite script di avvio SystemV o SystemD, comunicando con un server remoto su TCP o UDP per il recupero dei comandi.
Questa backdoor è attrezzata per eseguire operazioni sui file, modificare indirizzi di comando e controllo, gestire processi in esecuzione, eseguire comandi shell, aggiornarsi e autodistruggersi. Impiega tattiche per eludere il rilevamento, inclusa la crittografia delle comunicazioni C2 utilizzando il Tiny Encryption Algorithm (TEA).
I ricercatori sottolineano l'attenzione di DinodasRAT sull'ottenimento e il mantenimento dell'accesso ai server Linux piuttosto che sulla ricognizione, facilitando il controllo completo per l'esfiltrazione di dati e lo spionaggio.
L'analisi di Check Point rivela le origini di DinodasRAT nel progetto open source SimpleRemoter, evoluzione di Gh0st RAT. La variante Linux, denominata Linodas, presenta funzionalità come il monitoraggio del sistema multi-thread, moduli ausiliari per interferire con i binari del sistema e un modulo filtro che funge da proxy per controllare l'output dei binari originali per eludere il rilevamento e raccogliere informazioni dagli host.