Cercetătorii în securitate au observat sisteme Red Hat și Ubuntu fiind atacate de o versiune Linux a malware-ului DinodasRAT (cunoscut și sub numele de XDealer) care ar fi putut fi în funcțiune din 2022.
Versiunea Linux a malware-ului nu a fost descrisă public, deși prima versiune a fost urmărită până în 2021.
Compania de cybersecurity ESET a văzut anterior DinodasRAT compromițând sisteme Windows într-o campanie de spionaj denumită ‘Operațiunea Jacana’, care a vizat entități guvernamentale.
Mai devreme în acest lună, Trend Micro a raportat despre un grup APT chinezesc pe care îl urmăresc sub numele de ‘Earth Krahang’, care a folosit XDealer pentru a sparge atât sistemele Windows, cât și cele Linux ale guvernelor din întreaga lume.
Într-un raport mai devreme în această săptămână, cercetătorii de la Kaspersky spun că atunci când este executat, versiunea Linux a lui DinodasRAT creează un fișier ascuns în directorul în care se află binarul său, care acționează ca un mutex pentru a preveni rularea mai multor instanțe pe dispozitivul infectat.
Mai departe, malware-ul își stabilește persistența pe computer folosind scripturi de pornire SystemV sau SystemD. Pentru a complica detectarea, malware-ul se execută din nou în timp ce procesul părinte așteaptă.
Mașina infectată este etichetată folosind detalii despre infecție, hardware și sistem, iar raportul este trimis la serverul de comandă și control (C2) pentru a gestiona gazdele victimei.
Comunicarea cu serverul C2 are loc prin TCP sau UDP, în timp ce malware-ul utilizează Algoritmul de Criptare Mică (TEA) în modul CBC, asigurând un schimb de date securizat.
DinodasRAT are capacități proiectate pentru a monitoriza, controla și exfiltra date din sistemele compromise. Principalele sale caracteristici includ:
Potrivit cercetătorilor, DinodasRAT oferă atacatorului control complet asupra sistemelor compromise. Aceștia remarcă că actorul de amenințare folosește malware-ul în principal pentru a obține și a menține accesul la țintă prin serverele Linux.
‘Backdoor-ul este complet funcțional, oferind operatorului control complet asupra mașinii infectate, permițând exfiltrarea datelor și spionajul,’ spune Kaspersky.
Kaspersky nu oferă detalii despre metoda de infectare inițială, dar remarcă că din octombrie 2023 malware-ul afectează victime în China, Taiwan, Turcia și Uzbekistan.
Hackerii Magnet Goblin folosesc vulnerabilități de 1 zi pentru a descărca malware Linux personalizat
Malware-ul Linux GTPDOOR furtunos vizează rețelele de operatori mobili
Noul malware Bifrost pentru Linux imită domeniul VMware pentru evaziune
Instrumentul Ubuntu ‘command-not-found’ poate fi abuzat pentru a răspândi malware
Hackerii au folosit un zero-day nou de la Windows Defender pentru a descărca malware-ul DarkMe
Leave a Reply