Обнаружена Linux-версия DinodasRAT - «Новости»

  • 10:30, 03-апр-2024
  • Новости / Преимущества стилей / Изображения / Текст / Отступы и поля / Вёрстка
  • Cramer
  • 0

Исследователи обнаружили, что Red Hat и Ubuntu подвергаются атакам Linux-версии малвари DinodasRAT (она же XDealer), которая, вероятно, активна еще с 2022 года.


Осенью прошлого года компания ESET рассказывала о вредоносе DinodasRAT, который атаковал Windows-системы. Исследователи назвали эти атаки «Операция Jacana» и писали, что те нацелены на правительственные организации с целью кибершпионажа.


Кроме того, ранее недавно эксперты компании Trend Micro сообщали о китайской APT-группе, которую они отслеживают под именем Earth Krahang. Эта группировка использовала вредоноса XDealer для взлома Windows- и Linux-систем правительственных организаций по всему миру.


В своем отчете, опубликованном теперь «Лабораторией Касперского», подробно рассказывает о Linux-варианте DinodasRAT (он же XDealer), который эксперты описывают как кроссплатформенный бэкдор, написанный на C++.


Исследователи не сообщают ничего о способе изначального распространения малвари, но отмечают, что с октября 2023 года она атакует жертв в Китае, Тайване, Турции и Узбекистане. По их словам, DinodasRAT предоставляет злоумышленнику полный контроль над взломанными системами, и хакеры в основном используют его для получения и поддержания доступа к целям через Linux-серверы.


«Бэкдор полностью функционален и предоставляет операторам полный контроль над зараженной машиной, позволяя осуществлять эксфильтрацию данных и шпионаж», — пишут специалисты.


Исследователи рассказывают, что при запуске Linux-вариант DinodasRAT создает скрытый файл в каталоге, где находится его бинарник, который действует как мьютекс, предотвращающий запуск нескольких экземпляров вредоноса на зараженном устройстве. Далее малварь закрепляется в системе с помощью SystemV или SystemD.





Зараженная машина помечается с помощью сведений о заражении, аппаратном и системном обеспечении, после чего отчет о заражении отправляется на управляющий сервер.


Связь с сервером хакеров осуществляется по протоколам TCP или UDP, при этом малварь использует алгоритм шифрования Tiny Encryption Algorithm (TEA) в режиме CBC, чтобы защитить этот обмен данными.


Согласно отчету, DinodasRAT обладает возможностями для мониторинга, контроля и эксфильтрации данных из взломанных систем. А к его основным функциям относятся:



  • мониторинг и сбор данных о действиях пользователей, конфигурации системы и запущенных процессах;

  • получение команд для выполнения от управляющего сервера, включая действия с файлами и каталогами, выполнение шелл-команд и обновление адреса управляющего сервера;

  • перечисление, запуск, остановка и управление процессами и службами в зараженной системе;

  • remote shell для прямого выполнения команд или файлов;

  • проксирование C&C-коммуникаций через удаленные серверы.

  • загрузка новых версий малвари;

  • удаление себя и стирание всех следов предыдущей активности из системы.


Исследователи обнаружили, что Red Hat и Ubuntu подвергаются атакам Linux-версии малвари DinodasRAT (она же XDealer), которая, вероятно, активна еще с 2022 года. Осенью прошлого года компания ESET рассказывала о вредоносе DinodasRAT, который атаковал Windows-системы. Исследователи назвали эти атаки «Операция Jacana» и писали, что те нацелены на правительственные организации с целью кибершпионажа. Кроме того, ранее недавно эксперты компании Trend Micro сообщали о китайской APT-группе, которую они отслеживают под именем Earth Krahang. Эта группировка использовала вредоноса XDealer для взлома Windows- и Linux-систем правительственных организаций по всему миру. В своем отчете, опубликованном теперь «Лабораторией Касперского», подробно рассказывает о Linux-варианте DinodasRAT (он же XDealer), который эксперты описывают как кроссплатформенный бэкдор, написанный на C . Исследователи не сообщают ничего о способе изначального распространения малвари, но отмечают, что с октября 2023 года она атакует жертв в Китае, Тайване, Турции и Узбекистане. По их словам, DinodasRAT предоставляет злоумышленнику полный контроль над взломанными системами, и хакеры в основном используют его для получения и поддержания доступа к целям через Linux-серверы. «Бэкдор полностью функционален и предоставляет операторам полный контроль над зараженной машиной, позволяя осуществлять эксфильтрацию данных и шпионаж», — пишут специалисты. Исследователи рассказывают, что при запуске Linux-вариант DinodasRAT создает скрытый файл в каталоге, где находится его бинарник, который действует как мьютекс, предотвращающий запуск нескольких экземпляров вредоноса на зараженном устройстве. Далее малварь закрепляется в системе с помощью SystemV или SystemD. Зараженная машина помечается с помощью сведений о заражении, аппаратном и системном обеспечении, после чего отчет о заражении отправляется на управляющий сервер. Связь с сервером хакеров осуществляется по протоколам TCP или UDP, при этом малварь использует алгоритм шифрования Tiny Encryption Algorithm (TEA) в режиме CBC, чтобы защитить этот обмен данными. Согласно отчету, DinodasRAT обладает возможностями для мониторинга, контроля и эксфильтрации данных из взломанных систем. А к его основным функциям относятся: мониторинг и сбор данных о действиях пользователей, конфигурации системы и запущенных процессах; получение команд для выполнения от управляющего сервера, включая действия с файлами и каталогами, выполнение шелл-команд и обновление адреса управляющего сервера; перечисление, запуск, остановка и управление процессами и службами в зараженной системе; remote shell для прямого выполнения команд или файлов; проксирование C

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!