DinodasRAT Linux 版本在亚洲国家使用

安全研究人员透露，DinodasRAT 的 Linux 版本出现了，这是一种多功能后门恶意软件，在中国、台湾、土耳其和乌兹别克斯坦等目标地区被发现。

DinodasRAT，也称为 XDealer，以 C++ 运行，具有从受感染系统中提取广泛敏感数据的能力。

2023 年 10 月，研究人员发现了一项名为“水雉行动”的网络间谍活动，该活动使用该恶意软件的 Windows 版本针对圭亚那的一个政府实体。较新的报告强调，自 2023 年以来，代号为 Earth Krahang 的 DinodasRAT 威胁活动已发生转变，针对全球多个政府机构。

DinodasRAT 与中国 APT 相关

DinodasRAT 的 Linux 变体 (V10) 主要归因于珞瑜等与中国相关的威胁行为者，于 2023 年 10 月上旬首次检测到，早期变体可追溯到 2021 年 7 月 (V7)。更新版本 (V11) 于 2023 年 11 月确定。

主要针对基于 Red Hat 的发行版和 Ubuntu Linux 定制，执行后，DinodasRAT 通过 SystemV 或 SystemD 启动脚本建立持久性，通过 TCP 或 UDP 与远程服务器通信以进行命令检索。

该后门可以执行文件操作、更改命令和控制地址、管理正在运行的进程、执行 shell 命令、自我更新和自毁。它采用策略来逃避检测，包括使用微型加密算法 (TEA) 对 C2 通信进行加密。

研究人员指出，DinodasRAT 的重点是获取和保留对 Linux 服务器的访问而不是侦察，从而促进对数据泄露和间谍活动的完全控制。

Check Point 的分析揭示了 DinodasRAT 起源于开源项目 SimpleRemoter，从 Gh0st RAT 演变而来。 Linux 变体名为 Linodas，具有多线程系统监控、干扰系统二进制文件的辅助模块以及充当代理的过滤器模块，用于控制原始二进制文件的输出，以逃避检测并从主机收集信息。