DinodasRAT Linux versija, naudojama Azijos šalyse

Saugumo tyrinėtojai atskleidė, kad „DinodasRAT“ – universali užpakalinių durų kenkėjiška programinė įranga – „Linux“ iteracija, pastebėta laukiniuose regionuose, įskaitant Kiniją, Taivaną, Turkiją ir Uzbekistaną.

DinodasRAT, taip pat žinomas kaip XDealer, veikia C++ ir turi galimybę išgauti platų jautrių duomenų spektrą iš pažeistų sistemų.

2023 m. spalio mėn. mokslininkai atskleidė kibernetinio šnipinėjimo kampaniją, pavadintą „Operation Jacana“, nukreiptą į Gajanos vyriausybinį subjektą, naudojantį šios kenkėjiškos programos „Windows“ versiją. Naujesnėse ataskaitose pabrėžiamas grėsmės veiklos perėjimas į DinodasRAT, kodiniu pavadinimu Earth Krahang, nuo 2023 m. nukreiptas į įvairias vyriausybines institucijas visame pasaulyje.

DinodasRAT Susietas su Kinijos APT

DinodasRAT „Linux“ variantas (V10), daugiausia priskiriamas su Kinija susijusiems grėsmės veikėjams, tokiems kaip LuoYu, pirmą kartą buvo aptiktas 2023 m. spalio pradžioje, o ankstesni variantai – 2021 m. liepos mėn. (V7). 2023 m. lapkritį buvo nustatyta naujesnė versija (V11).

Visų pirma pritaikytas „Red Hat“ pagrįstiems platinimams ir „Ubuntu Linux“, vykdymo metu „DinodasRAT“ užtikrina pastovumą per SystemV arba SystemD paleisties scenarijus, bendraudamas su nuotoliniu serveriu per TCP arba UDP, kad gautų komandas.

Šios užpakalinės durys yra pritaikytos atlikti failų operacijas, keisti komandų ir valdymo adresus, valdyti vykdomus procesus, vykdyti apvalkalo komandas, atnaujinti save ir susinaikinti. Ji naudoja taktiką, kad išvengtų aptikimo, įskaitant C2 ryšių šifravimą naudojant mažąjį šifravimo algoritmą (TEA).

Tyrėjai atkreipia dėmesį į tai, kad DinodasRAT daugiausia dėmesio skiria prieigos prie „Linux“ serverių įgijimui ir išlaikymui, o ne žvalgybai, o tai palengvina visišką duomenų išfiltravimo ir šnipinėjimo kontrolę.

„Check Point“ analizė atskleidžia „DinodasRAT“ ištakas atvirojo kodo projekte „SimpleRemoter“, kuris vystosi iš „Gh0st RAT“. Linux variantas, pavadintas Linodas, turi tokias galimybes kaip kelių gijų sistemos stebėjimas, pagalbiniai moduliai, trukdantys sistemos dvejetainiams failams, ir filtro modulis, veikiantis kaip tarpinis serveris, valdantis originalių dvejetainių failų išvestį, siekiant išvengti aptikimo ir rinkti informaciją iš pagrindinių kompiuterių.