Новости Обнаружена Linux-версия DinodasRAT

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
25.682
Репутация
11.175
Реакции
59.761
RUB
50
Исследователи обнаружили, что Red Hat и Ubuntu подвергаются атакам Linux-версии малвари DinodasRAT (она же XDealer), которая, вероятно, активна еще с 2022 года.


Осенью прошлого года компания ESET рассказывала о вредоносе DinodasRAT, который атаковал Windows-системы. Исследователи назвали эти атаки « » и писали, что те нацелены на правительственные организации с целью кибершпионажа.

AQAK6NFZNvA_kuI0qnN3R0vwI8_5JbNOeXn4UHPyqd6gP9VZbucW7FNpYvhQk5dQOrThuYa1JHNOdseXvPP_qRMIMu4.webp


Кроме того, ранее недавно эксперты компании Trend Micro о китайской APT-группе, которую они отслеживают под именем Earth Krahang. Эта группировка использовала вредоноса XDealer для взлома Windows- и Linux-систем правительственных организаций по всему миру.

В своем , опубликованном теперь «Лабораторией Касперского», подробно рассказывает о Linux-варианте DinodasRAT (он же XDealer), который эксперты описывают как кроссплатформенный бэкдор, написанный на C++.

Исследователи не сообщают ничего о способе изначального распространения малвари, но отмечают, что с октября 2023 года она атакует жертв в Китае, Тайване, Турции и Узбекистане. По их словам, DinodasRAT предоставляет злоумышленнику полный контроль над взломанными системами, и хакеры в основном используют его для получения и поддержания доступа к целям через Linux-серверы.

«Бэкдор полностью функционален и предоставляет операторам полный контроль над зараженной машиной, позволяя осуществлять эксфильтрацию данных и шпионаж», — пишут специалисты.

Исследователи рассказывают, что при запуске Linux-вариант DinodasRAT создает скрытый файл в каталоге, где находится его бинарник, который действует как мьютекс, предотвращающий запуск нескольких экземпляров вредоноса на зараженном устройстве. Далее малварь закрепляется в системе с помощью SystemV или SystemD.



Зараженная машина помечается с помощью сведений о заражении, аппаратном и системном обеспечении, после чего отчет о заражении отправляется на управляющий сервер.

Связь с сервером хакеров осуществляется по протоколам TCP или UDP, при этом малварь использует алгоритм шифрования Tiny Encryption Algorithm (TEA) в режиме CBC, чтобы защитить этот обмен данными.

Согласно отчету, DinodasRAT обладает возможностями для мониторинга, контроля и эксфильтрации данных из взломанных систем. А к его основным функциям относятся:
  • мониторинг и сбор данных о действиях пользователей, конфигурации системы и запущенных процессах;
  • получение команд для выполнения от управляющего сервера, включая действия с файлами и каталогами, выполнение шелл-команд и обновление адреса управляющего сервера;
  • перечисление, запуск, остановка и управление процессами и службами в зараженной системе;
  • remote shell для прямого выполнения команд или файлов;
  • проксирование C&C-коммуникаций через удаленные серверы.
  • загрузка новых версий малвари;
  • удаление себя и стирание всех следов предыдущей активности из системы.

 
Сверху Снизу