Linux verzija višeplatformskog backdoor-a nazvanog DinodasRAT otkrivena je u okruženju i cilja na Kinu, Tajvan, Tursku i Uzbekistan, otkrivaju novi nalazi kompanije Kaspersky.
DinodasRAT, također poznat kao XDealer, je zlonamjerni softver baziran na C++-u koji nudi mogućnost prikupljanja širokog spektra osjetljivih podataka sa kompromitovanih hostova.
U oktobru 2023, slovačka firma za sajber sigurnost ESET otkrila je da je vladin subjekt u Gvajani bio na meti u sklopu kampanje sajber špijunaže nazvane Operacija Jacana za postavljanje Windows verzije implantata.
Zatim je prošle sedmice Trend Micro detaljno opisao klaster hakera koje prati kao Earth Krahang i koji je prešao na korištenje DinodasRAT-a od 2023. u svojim napadima usmjerenim na nekoliko vladinih subjekata širom svijeta.
Upotreba DinodasRAT-a se pripisuje različitim hakerima vezanim za Kinu, uključujući LuoYu, što još jednom odražava dijeljenje alata koje preovladava među hakerskim ekipama za koje je identifikovano da djeluju u ime zemlje.
Kaspersky je saopštio da je otkrio Linux verziju malvera (V10) početkom oktobra 2023. Do sada prikupljeni dokazi pokazuju da prva poznata varijanta (V7) datira iz 2021. godine.
Uglavnom je dizajniran da cilja na Red Hat distribucije i Ubuntu Linux. Nakon izvršenja, uspostavlja postojanost na hostu pomoću skripti za pokretanje SystemV ili SystemD i povremeno kontaktira udaljeni server preko TCP ili UDP-a da dohvati komande koje treba pokrenuti.
DinodasRAT je opremljen za obavljanje operacija sa datotekama, promjenu komandno-kontrolnih (C2) adresa, nabrajanje i završetak pokrenutih procesa, izvršavanje shell naredbi, preuzimanje nove verzije backdoor-a, pa čak i deinstaliranje samog sebe.
Takođe preduzima korake da izbegne otkrivanje pomoću alata za otklanjanje grešaka i nadgledanja, i kao i njegov Windows pandan, koristi Tiny Encryption Algoritam ( TEA ) za šifrovanje C2 komunikacija.
„Primarni slučaj upotrebe DinodasRAT-a je dobijanje i održavanje pristupa preko Linux servera, a ne izviđanje“, rekao je Kaspersky. “Backdoor je potpuno funkcionalan, omogućavajući operateru potpunu kontrolu nad zaraženom mašinom, omogućavajući eksfiltraciju podataka i špijunažu.”
Izvor:The Hacker News