卡巴斯基报告:DinodasRAT 恶意软件以 Linux 服务器为目标进行间谍活动

安全研究人员观察到 Red Hat 和 Ubuntu 系统受到 Linux 版本的 DinodasRAT(也称为 XDealer)的攻击,该版本可能自 2022 年以来一直在运行。

该恶意软件的第一个版本已追踪至 2021 年,但 Linux 变体尚未公开披露过。

网络安全公司 ESET 此前曾发现 DinodasRAT 在一项名为“Operation Jacana(水雉行动)”的针对政府实体的间谍活动中损害了 Windows 系统。

微信图片_20240401102939

本月早些时候,趋势科技报道了他们追踪的一个名为“Earth Krahang”的 APT 组织,该组织使用 XDealer 破坏了全球多国政府的 Windows 和 Linux 系统。

DinodasRAT 详细信息

在本周早些时候的一份报告中,卡巴斯基的研究人员表示,DinodasRAT 的 Linux 变体在执行时会在其二进制文件所在的目录中创建一个隐藏文件,该文件充当互斥体,以防止多个实例在受感染的设备上运行。

接下来,恶意软件使用 SystemV 或 SystemD 启动脚本在计算机上设置持久性。为了使检测变得复杂,恶意软件会在父进程等待时再次执行。

微信图片_20240401103417

恶意软件的执行逻辑 (卡巴斯基)

使用感染、硬件和系统详细信息对受感染的计算机进行标记,并将报告发送到命令和控制 (C2) 服务器以管理受害主机。

微信图片_20240401103447

为受害者创建唯一 ID (卡巴斯基)

与 C2 服务器的通信通过 TCP 或 UDP 进行,而恶意软件在 CBC 模式下利用微型加密算法 (TEA),确保安全的数据交换。

微信图片_20240401103514

Dinodas网络数据包结构 (卡巴斯基)

DinodasRAT 具有旨在监视、控制和从受感染系统中窃取数据的功能。其主要特点包括:

  1. 监视和收集有关用户活动、系统配置和运行流程的数据。
  2. 接收来自 C2 的执行命令,包括文件和目录操作、shell 命令执行以及更新 C2 地址。
  3. 枚举、启动、停止和管理受感染系统上的进程和服务。
  4. 为攻击者提供远程shell,以便在单独的威胁中直接执行命令或文件。
  5. 通过远程服务器代理 C2 通信。
  6. 下载可能包含改进和附加功能的恶意软件的新版本。
  7. 自行卸载并从系统中擦除其先前活动的所有痕迹。

研究人员表示,DinodasRAT 使攻击者能够完全控制受感染的系统。他们指出,攻击者主要使用恶意软件来通过 Linux 服务器获取和维护对攻击目标的访问。

卡巴斯基表示:“后门功能齐全,使操作员能够完全控制受感染的机器,从而实现数据泄露和间谍活动。”

卡巴斯基没有提供有关初始感染方法的详细信息,但指出自 2023 年 10 月以来,该恶意软件影响多国受害者。


转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/pmf5FbBtJ4ri0SJDMI-JIg

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞15 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容