Версия DinodasRAT Linux, используемая в азиатских странах
Исследователи безопасности сообщили о появлении Linux-версии DinodasRAT, универсального вредоносного ПО с бэкдором, обнаруженного в таких диких регионах, как Китай, Тайвань, Турция и Узбекистан.
DinodasRAT, также известный как XDealer, работает на C++ и обладает способностью извлекать широкий спектр конфиденциальных данных из скомпрометированных систем.
В октябре 2023 года исследователи раскрыли кампанию кибершпионажа под названием Operation Jacana, нацеленную на правительственное учреждение в Гайане, использующее версию этого вредоносного ПО для Windows. В новых отчетах отмечается смещение активности угроз на DinodasRAT под кодовым названием Earth Krahang, нацеленную на различные государственные органы по всему миру с 2023 года.
DinodasRAT связан с китайскими APT
Вариант Linux (V10) DinodasRAT, приписываемый главным образом китайским злоумышленникам, таким как LuoYu, был впервые обнаружен в начале октября 2023 года, а более ранние варианты датируются июлем 2021 года (V7). Более новая версия (V11) была обнаружена в ноябре 2023 года.
В первую очередь предназначенный для дистрибутивов на базе Red Hat и Ubuntu Linux, DinodasRAT после выполнения устанавливает постоянство через сценарии запуска SystemV или SystemD, связываясь с удаленным сервером через TCP или UDP для получения команд.
Этот бэкдор предназначен для выполнения файловых операций, изменения адресов управления и контроля, управления запущенными процессами, выполнения команд оболочки, самообновления и самоуничтожения. Он использует тактику уклонения от обнаружения, включая шифрование сообщений C2 с использованием алгоритма Tiny Encryption Algorithm (TEA).
Исследователи отмечают, что DinodasRAT ориентирован на получение и сохранение доступа к серверам Linux, а не на разведку, что обеспечивает полный контроль за кражей данных и шпионажем.
Анализ Check Point показывает, что DinodasRAT возник в проекте с открытым исходным кодом SimpleRemoter, развившемся из Gh0st RAT. Вариант Linux, названный Linodas, имеет такие возможности, как многопоточный мониторинг системы, вспомогательные модули для взаимодействия с системными двоичными файлами и модуль фильтра, действующий как прокси-сервер для управления выводом исходных двоичных файлов для уклонения от обнаружения и сбора информации с хостов.