Một phiên bản Linux của một backdoor đa nền tảng được gọi là DinodasRAT đã được phát hiện trong tự nhiên nhắm mục tiêu vào Trung Quốc, Đài Loan, Thổ Nhĩ Kỳ và Uzbekistan, những phát hiện mới từ Kaspersky tiết lộ.
DinodasRAT, còn được gọi là XDealer, là một phần mềm độc hại dựa trên C ++ cung cấp khả năng thu thập một loạt các dữ liệu nhạy cảm từ các máy chủ bị xâm nhập.
Vào tháng 10/2023, công ty an ninh mạng ESET của Slovakia tiết lộ rằng một thực thể chính phủ ở Guyana đã bị nhắm mục tiêu như một phần của chiến dịch gián điệp mạng có tên Chiến dịch Jacana để triển khai phiên bản Windows của cấy ghép.
Sau đó, vào tuần trước, Trend Micro đã trình bày chi tiết một cụm hoạt động đe dọa mà họ theo dõi là Earth Krahang và đã chuyển sang sử dụng DinodasRAT kể từ năm 2023 trong các cuộc tấn công nhằm vào một số thực thể chính phủ trên toàn thế giới.
Việc sử dụng DinodasRAT đã được quy cho các tác nhân đe dọa mối quan hệ khác nhau của Trung Quốc, bao gồm cả LuoYu, một lần nữa phản ánh sự chia sẻ công cụ phổ biến giữa các nhóm hack được xác định là hành động thay mặt cho đất nước.
Kaspersky cho biết họ đã phát hiện ra phiên bản Linux của phần mềm độc hại (V10) vào đầu tháng 10/2023. Bằng chứng thu thập được cho đến nay cho thấy biến thể đầu tiên được biết đến (V7) có từ năm 2021.
Nó chủ yếu được thiết kế để nhắm mục tiêu các bản phân phối dựa trên Red Hat và Ubuntu Linux. Sau khi thực thi, nó thiết lập sự bền bỉ trên máy chủ bằng cách sử dụng các tập lệnh khởi động SystemV hoặc SystemD và định kỳ liên hệ với máy chủ từ xa qua TCP hoặc UDP để tìm nạp các lệnh sẽ chạy.
DinodasRAT được trang bị để thực hiện các hoạt động tệp, thay đổi địa chỉ lệnh và kiểm soát (C2), liệt kê và chấm dứt các quy trình đang chạy, thực thi các lệnh shell, tải xuống phiên bản backdoor mới và thậm chí tự gỡ cài đặt.
Nó cũng thực hiện các bước để tránh bị phát hiện bằng các công cụ gỡ lỗi và giám sát, và giống như đối tác Windows của nó, sử dụng Thuật toán mã hóa nhỏ (TEA) để mã hóa thông tin liên lạc C2.
"Trường hợp sử dụng chính của DinodasRAT là giành và duy trì quyền truy cập thông qua các máy chủ Linux thay vì trinh sát", Kaspersky cho biết. "Backdoor có đầy đủ chức năng, cho phép người vận hành kiểm soát hoàn toàn máy bị nhiễm, cho phép lọc dữ liệu và gián điệp."