Wersja systemu Linux DinodasRAT używana w krajach azjatyckich
Badacze bezpieczeństwa ujawnili pojawienie się linuksowej wersji DinodasRAT, wszechstronnego złośliwego oprogramowania typu backdoor, wykrytego w dzikich regionach docelowych, w tym w Chinach, Tajwanie, Turcji i Uzbekistanie.
DinodasRAT, znany również jako XDealer, działa w języku C++ i posiada możliwość wyodrębnienia szerokiego spektrum wrażliwych danych z zaatakowanych systemów.
W październiku 2023 r. badacze odkryli kampanię cyberszpiegowską zwaną Operacją Jacana, której celem była jednostka rządowa w Gujanie, wykorzystująca wersję tego szkodliwego oprogramowania dla systemu Windows. Nowsze raporty podkreślają zmianę w aktywności zagrożeń wobec DinodasRAT o kryptonimie Earth Krahang, których celem od 2023 r. są różne organy rządowe na całym świecie.
DinodasRAT powiązany z chińskimi APT
Przypisywany głównie ugrupowaniom zagrażającym z Chin, takim jak LuoYu, wariant DinodasRAT dla systemu Linux (V10) został po raz pierwszy wykryty na początku października 2023 r., a wcześniejsze warianty datowano na lipiec 2021 r. (V7). Nowsza wersja (V11) została zidentyfikowana w listopadzie 2023 r.
Zaprojektowany głównie dla dystrybucji opartych na Red Hat i Ubuntu Linux, po uruchomieniu DinodasRAT ustanawia trwałość poprzez skrypty startowe SystemV lub SystemD, komunikując się ze zdalnym serwerem przez TCP lub UDP w celu pobrania poleceń.
Ten backdoor jest przystosowany do wykonywania operacji na plikach, zmiany adresów poleceń i kontroli, zarządzania uruchomionymi procesami, wykonywania poleceń powłoki, aktualizacji i samozniszczenia. Stosuje taktykę mającą na celu uniknięcie wykrycia, w tym szyfrowanie komunikacji C2 przy użyciu algorytmu Tiny Encryption Algorithm (TEA).
Badacze zauważają, że DinodasRAT koncentruje się na uzyskiwaniu i utrzymywaniu dostępu do serwerów Linux, a nie na rozpoznaniu, co ułatwia pełną kontrolę w przypadku eksfiltracji danych i szpiegostwa.
Analiza Check Point ujawnia początki DinodasRAT w projekcie open source SimpleRemote, ewoluującym z Gh0st RAT. Wariant Linuksa, nazwany Linodas, oferuje takie możliwości, jak wielowątkowe monitorowanie systemu, moduły pomocnicze do ingerencji w systemowe pliki binarne oraz moduł filtrujący działający jako serwer proxy do kontrolowania danych wyjściowych z oryginalnych plików binarnych w celu uniknięcia wykrycia i gromadzenia informacji od hostów.