Вредоносная программа DinodasRAT нацелена на серверы Linux в рамках кампании шпионажа

Исследователи безопасности заметили, что системы Red Hat и Ubuntu подвергаются атакам Linux-версии DinodasRAT (также известной как XDealer), которая, возможно, работает с 2022 года.

Linux-вариант вредоносной программы не был описан публично, хотя первая версия была отслежена до 2021 года.

Компания ESET, специализирующаяся на кибербезопасности, ранее уже видела, как DinodasRAT компрометирует системы Windows в рамках кампании по шпионажу, получившей название "Операция Jacana" и направленной на правительственные организации.

Ранее в этом месяце Trend Micro сообщила о китайской APT-группе, которую они отслеживают как "Earth Krahang" и которая использовала XDealer для взлома систем Windows и Linux правительственных организаций по всему миру.

Подробности о DinodasRAT

В своем отчете, опубликованном в начале этой недели, исследователи из Kaspersky сообщают, что при выполнении Linux-вариант DinodasRAT создает скрытый файл в каталоге, где находится его двоичный файл, который действует как мьютекс, предотвращающий запуск нескольких экземпляров на зараженном устройстве.

Далее вредоносная программа устанавливает постоянство на компьютере с помощью скриптов запуска SystemV или SystemD. Чтобы усложнить обнаружение, вредоносная программа запускается еще раз, пока родительский процесс ждет.

Зараженная машина помечается с помощью данных о заражении, оборудовании и системе, и отчет отправляется на командно-контрольный сервер (C2) для управления хостами жертв.

Связь с сервером C2 осуществляется по протоколам TCP или UDP, при этом вредоносная программа использует алгоритм шифрования Tiny Encryption Algorithm (TEA) в режиме CBC, что обеспечивает безопасный обмен данными.

DinodasRAT обладает возможностями, предназначенными для мониторинга, контроля и утечки данных из взломанных систем. Его основные функции включают:

• Мониторинг и сбор данных о действиях пользователей, конфигурации системы и запущенных процессах.
• Получение команд для выполнения от C2, включая действия с файлами и каталогами, выполнение команд оболочки и обновление адреса C2.
• Перечисление, запуск, остановка и управление процессами и службами в зараженной системе.
• Предлагать злоумышленникам удаленную оболочку для прямого выполнения команд или файлов в отдельных угрозах.
• Проксирование C2-коммуникаций через удаленные серверы.
• Загружать новые версии вредоносной программы, которые потенциально могут содержать улучшения и дополнительные возможности.
• Деинсталлировать себя и удалять из системы все следы своей предыдущей активности.

По словам исследователей, DinodasRAT дает злоумышленнику полный контроль над взломанными системами. Они отмечают, что угрожающий субъект использует вредонос в основном для получения и поддержания доступа к цели через Linux-серверы.

"Бэкдор полностью функционален и дает оператору полный контроль над зараженной машиной, позволяя осуществлять эксфильтрацию данных и шпионаж", - говорят в Kaspersky.

Касперский не предоставляет подробностей о способе первоначального заражения, но отмечает, что с октября 2023 года вредоносная программа поражает жертв в Китае, Тайване, Турции и Узбекистане.