DinodasRAT Linux 版本在亚洲国家使用
安全研究人员透露,DinodasRAT 的 Linux 版本出现了,这是一种多功能后门恶意软件,在中国、台湾、土耳其和乌兹别克斯坦等目标地区被发现。
DinodasRAT,也称为 XDealer,以 C++ 运行,具有从受感染系统中提取广泛敏感数据的能力。
2023 年 10 月,研究人员发现了一项名为“水雉行动”的网络间谍活动,该活动使用该恶意软件的 Windows 版本针对圭亚那的一个政府实体。较新的报告强调,自 2023 年以来,代号为 Earth Krahang 的 DinodasRAT 威胁活动已发生转变,针对全球多个政府机构。
DinodasRAT 与中国 APT 相关
DinodasRAT 的 Linux 变体 (V10) 主要归因于珞瑜等与中国相关的威胁行为者,于 2023 年 10 月上旬首次检测到,早期变体可追溯到 2021 年 7 月 (V7)。更新版本 (V11) 于 2023 年 11 月确定。
主要针对基于 Red Hat 的发行版和 Ubuntu Linux 定制,执行后,DinodasRAT 通过 SystemV 或 SystemD 启动脚本建立持久性,通过 TCP 或 UDP 与远程服务器通信以进行命令检索。
该后门可以执行文件操作、更改命令和控制地址、管理正在运行的进程、执行 shell 命令、自我更新和自毁。它采用策略来逃避检测,包括使用微型加密算法 (TEA) 对 C2 通信进行加密。
研究人员指出,DinodasRAT 的重点是获取和保留对 Linux 服务器的访问而不是侦察,从而促进对数据泄露和间谍活动的完全控制。
Check Point 的分析揭示了 DinodasRAT 起源于开源项目 SimpleRemoter,从 Gh0st RAT 演变而来。 Linux 变体名为 Linodas,具有多线程系统监控、干扰系统二进制文件的辅助模块以及充当代理的过滤器模块,用于控制原始二进制文件的输出,以逃避检测并从主机收集信息。