DinodasRAT
Une porte dérobée multiplateforme connue sous le nom de DinodasRAT a fait son apparition, ciblant spécifiquement des régions telles que la Chine, Taiwan, la Turquie et l'Ouzbékistan. Également reconnu sous le nom de XDealer, DinodasRAT fonctionne sur les systèmes Linux et est construit en C++, qui est équipé pour extraire un large éventail de données sensibles à partir de machines compromises.
En octobre 2023, les enquêteurs ont révélé qu'un organisme gouvernemental en Guyane était assiégé dans le cadre d'une initiative de cyberespionnage appelée Opération Jacana, axée sur le déploiement de l'itération Windows de cet implant menaçant. Fin mars 2024, les chercheurs ont décrit un groupe d'activités de menace connu sous le nom de Earth Krahang, qui a apparemment commencé à utiliser DinodasRAT depuis 2023 dans ses assauts, ciblant de nombreuses entités gouvernementales à travers le monde.
Table des matières
DinodasRAT a été continuellement développé par les cybercriminels
L'utilisation de DinodasRAT a été attribuée à divers acteurs menaçants liés à la Chine, dont LuoYu, reflétant une fois de plus le partage d'outils répandu parmi les équipes de piratage identifiées comme agissant au nom du pays.
Les chercheurs sont tombés sur une version Linux du malware (V10) début octobre 2023. Les preuves recueillies jusqu'à présent montrent que la première variante connue (V7) remonte à juillet 2021. Une version de nouvelle génération (V11) a depuis été détectée en novembre. 2023.
Il est principalement conçu pour cibler les distributions basées sur Red Hat et Ubuntu Linux. Lors de l'exécution, il établit la persistance sur l'hôte à l'aide des scripts de démarrage SystemV ou SystemD. Il contacte périodiquement un serveur distant via TCP ou UDP pour récupérer les commandes à exécuter.
DinodasRAT est une menace sophistiquée dotée de nombreuses capacités intrusives
DinodasRAT est équipé d'une variété de fonctionnalités, notamment les opérations sur les fichiers, la modification des adresses de commande et de contrôle (C2), l'identification et la terminaison des processus actifs, l'exécution de commandes shell, la récupération de versions mises à jour de la porte dérobée et même l'auto-suppression.
Pour éviter la détection par les outils de débogage et de surveillance, DinodasRAT utilise des techniques d'évasion. Semblable à son homologue Windows, il utilise le Tiny Encryption Algorithm (TEA) pour chiffrer les communications C2.
DinodasRAT se concentre principalement sur l'établissement et le maintien d'un accès via des serveurs Linux plutôt que sur la reconnaissance. Il fonctionne efficacement, accordant à l'opérateur un contrôle total sur le système compromis et facilitant le vol de données et l'espionnage.
On pense qu'il provient d'un projet open source connu sous le nom de SimpleRemoter, qui est enraciné dans Gh0st RAT , DinodasRAT est devenu un malware entièrement fonctionnel doté de capacités importantes. La version Linux récemment découverte de la menace a été suivie par certains chercheurs, tels que Linodas.
Une variante Linux de DinodasRAT est apparue
Les individus à l'origine de cette menace font preuve d'une grande maîtrise des systèmes Linux. Leur décision de prendre en charge ce système d'exploitation va au-delà d'une simple adaptation d'un cheval de Troie d'accès à distance Windows (RAT) avec des directives de compilation conditionnelle (#ifdef). Il s'agit plutôt d'un projet entièrement distinct avec sa propre base de code, éventuellement gérée par une équipe de développement distincte.
Cette dernière itération de la porte dérobée introduit de nouvelles fonctionnalités, notamment la possibilité de créer plusieurs threads pour la surveillance du système, de télécharger des modules supplémentaires capables de perturber des binaires système spécifiques et de mettre fin aux sessions de shell inverse inactives après environ une heure.
L'objectif principal du module supplémentaire, appelé « module de filtrage », est de servir de proxy pour exécuter les binaires d'origine (par exemple, des commandes telles que « who », « netstat » et « ps ») et contrôler leur sortie. . Cela permet aux acteurs malveillants d’extraire des informations de l’hôte tout en échappant plus efficacement à la détection.
La sophistication et les capacités étendues observées dans cette menace soulignent la concentration constante des acteurs de la menace sur le ciblage des serveurs Linux. De telles attaques servent à la fois à établir une présence persistante et à servir de point pivot au sein des réseaux compromis. Cette stratégie capitalise probablement sur le niveau relativement faible de mesures de sécurité généralement déployées sur les systèmes Linux, permettant aux attaquants d'approfondir leur présence et d'opérer secrètement pendant de longues périodes.
