DinodasRAT
Eine plattformübergreifende Backdoor namens DinodasRAT ist aufgetaucht und zielt speziell auf Regionen wie China, Taiwan, die Türkei und Usbekistan ab. DinodasRAT, auch bekannt als XDealer, läuft auf Linux-Systemen und ist in C++ geschrieben. Es ist in der Lage, eine Vielzahl vertraulicher Daten von infizierten Maschinen zu extrahieren.
Im Oktober 2023 gaben Ermittler bekannt, dass eine Regierungsbehörde in Guyana im Rahmen einer Cyberspionage-Initiative namens Operation Jacana belagert wurde, bei der es um die Bereitstellung der Windows-Iteration dieses bedrohlichen Implantats ging. Ende März 2024 skizzierten Forscher einen Cluster von Bedrohungsaktivitäten namens Earth Krahang, der seit 2023 offenbar bei seinen Angriffen auf DinodasRAT umgestiegen ist und zahlreiche Regierungsstellen auf der ganzen Welt ins Visier nimmt.
Inhaltsverzeichnis
DinodasRAT wurde von Cyberkriminellen kontinuierlich weiterentwickelt
Der Einsatz von DinodasRAT wurde verschiedenen Bedrohungsakteuren mit China-Nexus zugeschrieben, darunter LuoYu, was einmal mehr den weit verbreiteten Austausch von Tools unter den Hackerteams widerspiegelt, die im Auftrag des Landes handeln.
Anfang Oktober 2023 stießen Forscher auf eine Linux-Version der Malware (V10). Bisherige Belege zeigen, dass die erste bekannte Variante (V7) aus dem Juli 2021 stammt. Im November 2023 wurde eine Version der nächsten Generation (V11) entdeckt.
Es ist hauptsächlich für Red Hat-basierte Distributionen und Ubuntu Linux konzipiert. Bei der Ausführung stellt es Persistenz auf dem Host her, indem es SystemV- oder SystemD-Startskripte verwendet. Es kontaktiert regelmäßig einen Remote-Server über TCP oder UDP, um die auszuführenden Befehle abzurufen.
DinodasRAT ist eine hochentwickelte Bedrohung mit zahlreichen aufdringlichen Fähigkeiten
DinodasRAT ist mit einer Reihe von Funktionen ausgestattet, darunter Dateioperationen, das Ändern von Command-and-Control (C2)-Adressen, das Identifizieren und Beenden aktiver Prozesse, das Ausführen von Shell-Befehlen, das Abrufen aktualisierter Versionen der Hintertür und sogar die Selbstentfernung.
Um eine Erkennung durch Debugging- und Überwachungstools zu vermeiden, verwendet DinodasRAT Ausweichtechniken. Ähnlich wie sein Windows-Gegenstück verwendet es den Tiny Encryption Algorithm (TEA), um C2-Kommunikationen zu verschlüsseln.
DinodasRAT konzentriert sich in erster Linie auf die Einrichtung und Aufrechterhaltung des Zugriffs über Linux-Server und nicht auf die Aufklärung. Es arbeitet effizient, gewährt dem Betreiber die vollständige Kontrolle über das kompromittierte System und erleichtert Datendiebstahl und Spionage.
DinodasRAT stammt vermutlich aus einem Open-Source-Projekt namens SimpleRemoter, das auf dem Gh0st RAT basiert, und hat sich zu einer voll funktionsfähigen Malware mit erheblichen Fähigkeiten entwickelt. Die neu entdeckte Linux-Version der Bedrohung wurde von einigen Forschern wie Linodas verfolgt.
Eine Linux-Variante von DinodasRAT ist aufgetaucht
Die Personen hinter dieser Bedrohung verfügen über umfassende Kenntnisse im Umgang mit Linux-Systemen. Ihre Entscheidung, dieses Betriebssystem zu unterstützen, geht über eine bloße Anpassung eines Windows Remote Access Trojan (RAT) mit bedingten Kompilierungsanweisungen (#ifdef) hinaus. Vielmehr handelt es sich um ein völlig eigenständiges Projekt mit eigener Codebasis, das möglicherweise von einem separaten Entwicklungsteam verwaltet wird.
Diese neueste Version der Hintertür führt neue Funktionen ein, darunter die Möglichkeit, mehrere Threads zur Systemüberwachung zu erstellen, Zusatzmodule herunterzuladen, die bestimmte Systembinärdateien stören können, und inaktive Reverse-Shell-Sitzungen nach etwa einer Stunde zu beenden.
Der Hauptzweck des zusätzlichen Moduls, das als „Filtermodul“ bezeichnet wird, besteht darin, als Proxy für die Ausführung ursprünglicher Binärdateien (z. B. Befehle wie „who“, „netstat“ und „ps“) zu dienen und deren Ausgabe zu steuern. Auf diese Weise können Bedrohungsakteure Informationen aus dem Host extrahieren und gleichzeitig der Erkennung effektiver entgehen.
Die Raffinesse und die erweiterten Fähigkeiten dieser Bedrohung unterstreichen den anhaltenden Fokus der Bedrohungsakteure auf Linux-Server. Solche Angriffe dienen sowohl dazu, eine dauerhafte Präsenz zu etablieren, als auch als Dreh- und Angelpunkt innerhalb kompromittierter Netzwerke zu dienen. Diese Strategie nutzt wahrscheinlich die vergleichsweise geringeren Sicherheitsmaßnahmen aus, die normalerweise auf Linux-Systemen eingesetzt werden, wodurch Angreifer ihren Einflussbereich vertiefen und über längere Zeiträume verdeckt agieren können.
