DinodasRAT-malware richt zich op Linux-servers in spionagecampagne

Hier kunt u Linux tips en nieuws lezen
Plaats reactie
Gebruikersavatar
Abraham54
Berichten: 447
Lid geworden op: 15 jan 2023, 13:22
Has thanked: 9 times
Been thanked: 184 times

DinodasRAT-malware richt zich op Linux-servers in spionagecampagne

#1

Bericht door Abraham54 »

DinodasRAT-malware richt zich op Linux-servers in spionagecampagne

Door Bill Toulas
Publicutie van BleepingComputer


Afbeelding


Beveiligingsonderzoekers hebben waargenomen dat Red Hat- en Ubuntu-systemen worden aangevallen door een Linux-versie van de DinodasRAT (ook bekend als XDealer) die mogelijk al sinds 2022 actief is.

De Linux-variant van de malware is niet openbaar beschreven, hoewel de eerste versie is getraceerd naar 2021.

Cyberbeveiligingsbedrijf ESET heeft eerder gezien dat DinodasRAT Windows-systemen aantastte in een spionagecampagne met de naam 'Operation Jacana', die gericht was op overheidsinstanties.

Eerder deze maand berichtte Trend Micro over een Chinese APT-groep die ze opsporen onder de naam 'Earth Krahang'. Deze groep gebruikte XDealer om in te breken in zowel Windows- als Linux-systemen van overheden wereldwijd.


DinodasRAT details
In een rapport eerder deze week zeggen onderzoekers van Kaspersky dat de Linux-variant van DinodasRAT na uitvoering een verborgen bestand aanmaakt in de map waar de binary zich bevindt, dat fungeert als een mutex om te voorkomen dat meerdere instanties op het geïnfecteerde apparaat worden uitgevoerd.

Vervolgens stelt de malware persistentie in op de computer met behulp van SystemV of SystemD opstartscripts. Om detectie te bemoeilijken, voert de malware vervolgens nog een keer uit terwijl het bovenliggende proces wacht.


Afbeelding
De uitvoeringslogica van de malware (Kaspersky)


De geïnfecteerde machine wordt getagd aan de hand van infectie-, hardware- en systeemgegevens en het rapport wordt naar de commando- en controleserver (C2) gestuurd om de hosts van het slachtoffer te beheren.


Afbeelding
De unieke ID van het slachtoffer maken (Kaspersky)



De communicatie met de C2-server verloopt via TCP of UDP, terwijl de malware gebruikmaakt van het Tiny Encryption Algorithm (TEA) in CBC-modus, waardoor de gegevensuitwisseling beveiligd is.


Afbeelding
Netwerkpakketstructuur van Dinodas (Kaspersky)



DinodasRAT heeft mogelijkheden die zijn ontworpen om gegevens van aangetaste systemen te bewaken, controleren en exfiltreren. De belangrijkste kenmerken zijn:
  • Bewaken en verzamelen van gegevens over gebruikersactiviteiten, systeemconfiguraties en draaiende processen.
  • Opdrachten voor uitvoering ontvangen van de C2, waaronder bestands- en mapacties, shellcommando's uitvoeren en het C2-adres bijwerken.
  • Opsommen, starten, stoppen en beheren van processen en services op het geïnfecteerde systeem.
  • De aanvallers een shell op afstand bieden voor het direct uitvoeren van commando's of bestanden in afzonderlijke bedreigingen.
  • C2-communicatie proxy'en via externe servers.
  • Nieuwe versies van de malware downloaden die mogelijk verbeteringen en extra mogelijkheden bevatten.
  • Zichzelf verwijderen en alle sporen van eerdere activiteiten van het systeem wissen.
Volgens de onderzoekers geeft DinodasRAT de aanvaller volledige controle over aangetaste systemen. Ze merken op dat de dreiger de malware voornamelijk gebruikt om toegang te krijgen en te houden tot het doelwit via Linux-servers.

"De achterdeur is volledig functioneel en geeft de aanvaller volledige controle over de geïnfecteerde machine, waardoor data exfiltratie en spionage mogelijk is", aldus Kaspersky.

Kaspersky geeft geen details over de initiële infectiemethode, maar merkt op dat de malware sinds oktober 2023 slachtoffers treft in China, Taiwan, Turkije en Oezbekistan.
Fulltime forumbeheerder overdag, astronaut en kwantumfysicus 's nachts.
Gebruikersavatar
De-Witte
Berichten: 681
Lid geworden op: 11 apr 2022, 23:43
Locatie: Roermond Nederland
Has thanked: 381 times
Been thanked: 536 times

Re: DinodasRAT-malware richt zich op Linux-servers in spionagecampagne

#2

Bericht door De-Witte »

Mooi uitermate technisch verhaal over DinodasRAT- malware door Bill Toulas.

Hierdoor wordt het al heel snel voor een leek absoluut niet meer te behappen, graag had ik dan ook een poging van jouzelf gezien het in begrijpelijke taal uit te leggen door de volgende vragen te beantwoorden:

Waar het precies over gaat, maw. wat is het en doet het in koeterwaals Nederlandsch zodat we het allemaal kunnen begrijpen?, Hoe jezelf ertegen te beschermen of te bewapenen? En vooral lopen normale gebruikers zoals mijzelf bijv. de downloader bij uitstek gevaar geïnfecteerd te raken ermee, wat zijn de kansen ermee besmet te raken?

Dan hadden we een informatief artikel gehad voor ons allemaal en niet alleen voor die paar techneuten die gelijk snappen waar dit over gaat.

Juist omdat in Linux zijn veiligheid, en vooral het ontbreken van A merk Anti Virus en Ad of Spy ware scanner software volledig ontbreekt.
Mag ik je kietelen @Abraham54 , om je eens hierover uit te weiden en wat te schrijven wat we allemaal begrijpen kunnen.

Wellicht dat menigeen gerustgesteld wordt met zijn Linux distributie of juist helemaal niet meer gerust er op is om er überhaupt nog ermee te werken aangezien mijn eerder aangehaalde A merk AV ontbreekt.
Ook had ik begrepen / gelezen dat ClamTk maar een basis, welliswaar heel goede AV scanner is, maar zich niet bezig houd met Ad, Spy en Trojan als software-scanner.

Wellicht dat jij er een lichtje op schijnen kan alvorens een bom te droppen.
Bij voor baat dank.
:thanks:
Als ik alles wist hoefde ik het hier niet te vragen :roll:
Gebruikersavatar
Abraham54
Berichten: 447
Lid geworden op: 15 jan 2023, 13:22
Has thanked: 9 times
Been thanked: 184 times

Re: DinodasRAT-malware richt zich op Linux-servers in spionagecampagne

#3

Bericht door Abraham54 »

Zoals de titel van dit topic al aangeeft, het gaat om het overvallen van Linux-servers.

Als gewone Linux gebruiker sta je volledig buiten schot en hoef je niet bang te zijn,
Fulltime forumbeheerder overdag, astronaut en kwantumfysicus 's nachts.
Gebruikersavatar
De-Witte
Berichten: 681
Lid geworden op: 11 apr 2022, 23:43
Locatie: Roermond Nederland
Has thanked: 381 times
Been thanked: 536 times

Re: DinodasRAT-malware richt zich op Linux-servers in spionagecampagne

#4

Bericht door De-Witte »

Distro hopper schrijft oa het volgend over AV, Ad en Spy ware:

Zorin-forum

Distrohopper
20 augustus
Zijn ze nodig? Een van de functies die Zorin OS adverteert, is dat het “bestand is tegen virussen” dankzij geavanceerde beveiliging functies. Toch zijn sommige antivirussoftware compatibel met Linux. Wat is het nut ervan als het besturingssysteem zelf al doet wat het doet?

Antivirussoftware is voor de meeste desktopcomputer gebruikers in Zorin OS niet nodig vanwege de geavanceerde beveiliging functies van Linux en het inherent veiligere ontwikkelingsmodel van Open Source-software. Om beschermd te blijven tegen beveiliging bedreigingen, raden we u altijd aan om de nieuwste updates van de Software Updater te installeren. Zo weet je zeker dat je over de nieuwste beveiliging patches beschikt…
Vertaald met Google Translate.

Wederom een persoon die zegt, gebruik je gezond verstand, installeer alleen van betrouwbare bron, installeer altijd de beveiligings patches en dan ben je eigenlijk safe en heb je geen av Ad of spyware scanner nodig in Zorin os.
Maar ik ben een persoon die grenzen opzoekt, veel download en soms van onbekende bron iets installeert zoals elke normale doorsnee Nederlander dat doet.
Als ik alles wist hoefde ik het hier niet te vragen :roll:
Gebruikersavatar
De-Witte
Berichten: 681
Lid geworden op: 11 apr 2022, 23:43
Locatie: Roermond Nederland
Has thanked: 381 times
Been thanked: 536 times

Re: DinodasRAT-malware richt zich op Linux-servers in spionagecampagne

#5

Bericht door De-Witte »

Abraham54 schreef: 31 mar 2024, 19:02 Zoals de titel van dit topic al aangeeft, het gaat om het overvallen van Linux-servers.

Als gewone Linux gebruiker sta je volledig buiten schot en hoef je niet bang te zijn,
Tja dat is het hem net, mijn systeem is een hardware server systeem welliswaar zonder server software. En wat is een gewone gebruiker als we allemaal wel eens naast het potje piesen door iets te downloaden wat niet mag of iets te installeren buiten de software winkel om gelijk elke normale Nederlandse gebruiker.
Als ik alles wist hoefde ik het hier niet te vragen :roll:
Plaats reactie

Terug naar “Linux nieuws en tips”