Door Bill Toulas
Publicutie van BleepingComputer
Beveiligingsonderzoekers hebben waargenomen dat Red Hat- en Ubuntu-systemen worden aangevallen door een Linux-versie van de DinodasRAT (ook bekend als XDealer) die mogelijk al sinds 2022 actief is.
De Linux-variant van de malware is niet openbaar beschreven, hoewel de eerste versie is getraceerd naar 2021.
Cyberbeveiligingsbedrijf ESET heeft eerder gezien dat DinodasRAT Windows-systemen aantastte in een spionagecampagne met de naam 'Operation Jacana', die gericht was op overheidsinstanties.
Eerder deze maand berichtte Trend Micro over een Chinese APT-groep die ze opsporen onder de naam 'Earth Krahang'. Deze groep gebruikte XDealer om in te breken in zowel Windows- als Linux-systemen van overheden wereldwijd.
DinodasRAT details
In een rapport eerder deze week zeggen onderzoekers van Kaspersky dat de Linux-variant van DinodasRAT na uitvoering een verborgen bestand aanmaakt in de map waar de binary zich bevindt, dat fungeert als een mutex om te voorkomen dat meerdere instanties op het geïnfecteerde apparaat worden uitgevoerd.
Vervolgens stelt de malware persistentie in op de computer met behulp van SystemV of SystemD opstartscripts. Om detectie te bemoeilijken, voert de malware vervolgens nog een keer uit terwijl het bovenliggende proces wacht.
De uitvoeringslogica van de malware (Kaspersky)
De geïnfecteerde machine wordt getagd aan de hand van infectie-, hardware- en systeemgegevens en het rapport wordt naar de commando- en controleserver (C2) gestuurd om de hosts van het slachtoffer te beheren.
De unieke ID van het slachtoffer maken (Kaspersky)
De communicatie met de C2-server verloopt via TCP of UDP, terwijl de malware gebruikmaakt van het Tiny Encryption Algorithm (TEA) in CBC-modus, waardoor de gegevensuitwisseling beveiligd is.
Netwerkpakketstructuur van Dinodas (Kaspersky)
DinodasRAT heeft mogelijkheden die zijn ontworpen om gegevens van aangetaste systemen te bewaken, controleren en exfiltreren. De belangrijkste kenmerken zijn:
- Bewaken en verzamelen van gegevens over gebruikersactiviteiten, systeemconfiguraties en draaiende processen.
- Opdrachten voor uitvoering ontvangen van de C2, waaronder bestands- en mapacties, shellcommando's uitvoeren en het C2-adres bijwerken.
- Opsommen, starten, stoppen en beheren van processen en services op het geïnfecteerde systeem.
- De aanvallers een shell op afstand bieden voor het direct uitvoeren van commando's of bestanden in afzonderlijke bedreigingen.
- C2-communicatie proxy'en via externe servers.
- Nieuwe versies van de malware downloaden die mogelijk verbeteringen en extra mogelijkheden bevatten.
- Zichzelf verwijderen en alle sporen van eerdere activiteiten van het systeem wissen.
"De achterdeur is volledig functioneel en geeft de aanvaller volledige controle over de geïnfecteerde machine, waardoor data exfiltratie en spionage mogelijk is", aldus Kaspersky.
Kaspersky geeft geen details over de initiële infectiemethode, maar merkt op dat de malware sinds oktober 2023 slachtoffers treft in China, Taiwan, Turkije en Oezbekistan.