DinodasRAT Linux 版本在亞洲國家使用
安全研究人員透露,DinodasRAT 的 Linux 版本出現了,這是一種多功能後門惡意軟體,在中國、台灣、土耳其和烏茲別克等目標地區被發現。
DinodasRAT,也稱為 XDealer,以 C++ 運行,具有從受感染系統中提取廣泛敏感資料的能力。
2023 年 10 月,研究人員發現了一項名為「水雉行動」的網路間諜活動,該活動使用該惡意軟體的 Windows 版本針對圭亞那的一個政府實體。較新的報告強調,自 2023 年以來,代號為 Earth Krahang 的 DinodasRAT 威脅活動已轉變,針對全球多個政府機構。
DinodasRAT 與中國 APT 相關
DinodasRAT 的 Linux 變體 (V10) 主要歸因於珞瑜等與中國相關的威脅行為者,並於 2023 年 10 月初首次檢測到,早期變體可追溯到 2021 年 7 月 (V7)。更新版本 (V11) 於 2023 年 11 月確定。
主要針對基於 Red Hat 的發行版和 Ubuntu Linux 定制,執行後,DinodasRAT 透過 SystemV 或 SystemD 啟動腳本建立持久性,透過 TCP 或 UDP 與遠端伺服器通訊以進行命令檢索。
此後門可以執行檔案操作、更改命令和控制位址、管理正在運行的進程、執行 shell 命令、自我更新和自毀。它採用策略來逃避偵測,包括使用微型加密演算法 (TEA) 對 C2 通訊進行加密。
研究人員指出,DinodasRAT 的重點是獲取和保留對 Linux 伺服器的存取而不是偵察,從而促進對資料外洩和間諜活動的完全控制。
Check Point 的分析揭示了 DinodasRAT 起源於開源專案 SimpleRemoter,從 Gh0st RAT 演變而來。 Linux 變體名為 Linodas,具有多線程系統監控、幹擾系統二進位檔案的輔助模組以及充當代理的過濾器模組,用於控制原始二進位檔案的輸出,以逃避檢測並從主機收集資訊。