DinodasRAT napada Linux servere

Linux varijanta DinodasRAT zlonamjernog softvera napada Linux servere otkriva istraživanje kompanije Kaspersky. Ovaj višeplatformski backdoor zlonamjerni softver je korišten u napadima na Kinu, Tajvan, Tursku i Uzbekistan.

DinodasRAT

DinodasRAT napada Linux servere; Source: Bing Image Creator

DINODASRAT

DinodasRAT poznat još i kao XDealer je sofisticirani C++ backdoor koji cilja na više operativnih sistema. Dizajniran je da omogući zlonamjernim akterima da tajno nadgledaju i izvlače osjetljive informacije iz kompromitovanih sistema.

Značajno je da je Windows RAT varijanta ovog zlonamjernog softvera korišćena u napadima na vladine organe u Gvajani u operaciji koju su detaljno analizirali ESET sigurnosni istraživači i nazvali je operacija Jacana. Nakon razotkrivanja kompanije ESET, početkom oktobra 2023. godine otkrivena je ranije nepoznata Linux varijanta DinodasRAT zlonamjernog softvera. Indicije sugerišu da je ova verzija, koju su počinioci označili v10, možda bila aktivna od 2022. godine. Međutim, prva otkrivena Linux varijanta, v7, datira iz 2021. godine i nije javno objavljena.

Upotreba DinodasRAT zlonamjernog softvera se pripisuje raznim zlonamjernim akterima porijeklom iz Kine, što još jednom odražava dijeljenje alata koje preovladava među hakerskim ekipama za koje je identifikovano da djeluju u ime svoje zemlje.

 

FUNKCIONISANJE

DinodasRAT Linux implant uglavnom utiče na distribucije zasnovane na Red Hat i Ubuntu distribucijama. Nakon izvršenja, generiše skrivenu mutex datoteku da spriječi pokretanje više instanci. Backdoor postiže postojanost direktnim izvršavanjem, skriptama za pokretanje SystemV ili SystemD i izvršavanjem sebe sa identifikacijom roditeljskog procesa kao kriterijumom, što komplikuje napore u otkrivanju.

Zaraženi uređaj je označen korištenjem informacija o infekciji, hardveru i sistemu i izvještaj se šalje komandnom i kontrolnom (C2) serveru radi upravljanja uređajima žrtava. On određuje tip distribucije Linux sistema i instalira odgovarajuće init skripte za backdoor pokretanje nakon podešavanja mreže.

Komunikacija sa C2 serverom se odvija preko TCP ili UDP protokola, dok zlonamjerni softver koristi Tiny Encryption Algorithm – TEA u CBC režimu, obezbeđujući bezbjednu razmjenu podataka. Takođe djeli ključeve za šifrovanje sa Windows verzijom za C2 i šifrovanjem imena. Infrastruktura koju koriste DinodasRAT Linux verzije bila je aktivna tokom analize sa jednom IP adresom koja je opsluživala i Windows i Linux C2 domene.

DinodasRAT ima mogućnosti dizajnirane da nadgleda, kontroliše i eksfiltrira podatke iz kompromitovanih sistema. Njegove glavne karakteristike uključuju:

  • Nadgledanje i prikupljanje podataka o aktivnostima korisnika, konfiguracijama sistema i pokrenutim procesima,
  • Primanje komande za izvršenje od C2 servera, uključujući operacija na datotekama i direktorijumima, izvršavanje komandnog okruženja i ažuriranje C2 adrese,
  • Nabrajanje, pokretanje, zaustavljanje i upravljanje procesima i uslugama na zaraženom sistemu,
  • Nudi napadaču mogućnost udaljenog komandnog okruženja za direktnu komandu ili izvršavanje datoteke sa zasebnim zlonamjernim prijetnjama,
  • Proxy C2 komunikacija preko udaljenih servera,
  • Preuzimanje nove verzije zlonamjernog softvera koja potencijalno uključuju poboljšanja i dodatne mogućnosti,
  • Brisanje zlonamjernog softvera i brisanje svih tragova prethodne aktivnosti sa sistema.

 

Prema dostupnim podacima DinodasRAT zlonamjernom akteru daje potpunu kontrolu nad kompromitovanim sistemima, a primijećeno je da zlonamjerni akteri koriste zlonamjerni softver prvenstveno za dobijanje i održavanje pristupa meti preko Linux servera.

 

“Backdoor je potpuno funkcionalan, omogućavajući operateru potpunu kontrolu nad zaraženom mašinom, omogućavajući eksfiltraciju podataka i špijunažu.”

– Kaspersky –

 

ZAKLJUČAK

Pojava Linux varijante DinodasRAT zlonamjernog softvera je nova briga za sigurnosne timove u Linux zajednici, jer se ne mogu zanemariti njegovi napadi u više zemalja. Njegovi ciljani napadi na distribucije zasnovane na Red Hat i Ubuntu distribucijama ukazuju na potrebu za povećanom budnošću u ovim okruženjima. DinodasRAT zlonamjerni softver može da obavlja razne zlonamjerne aktivnosti, kao što su operacije sa datotekama, nabrajanje procesa i izvršavanje komandnog okruženja. Ovaj sveobuhvatni skup funkcija ukazuje na to da operateri zlonamjernog softvera imaju značajnu kontrolu nad kompromitovanim sistemima, što predstavlja ozbiljnu prijetnju eksfiltraciji podataka i špijunaži.

 

ZAŠTITA

Ograničeni indikatori kompromisa (IOC) su trenutno dostupni zbog nedavnog pojavljivanja DinodasRAT zlonamjernog softvera. Međutim, sistemski administratori mogu pratiti sumnjive aktivnosti kao što su:

  • Pokušaji neovlaštenog udaljenog pristupa Linux sistemima,
  • Neočekivani mrežni saobraćaj koji potiče od zaraženih sistema,
  • Nepoznati procesi sa velikom potrošnjom resursa,
  • Neobične modifikacije sistema datoteka.

 

Kako bi ublažili opasnosti od DinodasRAT zlonamjernog softvera, sistemski administratori mogu primijeniti slijedeće strategije:

  • Redovno ažuriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver može da iskoristi,
  • Korištenje sveobuhvatnih bezbjednosnih riješenja kao što su softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) ili softver za prošireno otkrivanje i odgovor (eng. Extended detection and response – XDR). To su rješenja koja mogu upozoriti korisnike sistema na potencijalne napade i spriječiti dalji napredak zlonamjernog softvera prije nego što dođe do značajnije štete,
  • Korisnici bi trebalo da koriste jake lozinke i provjeru identiteta u više koraka (eng. multi-factor authentication – MFA),
  • Koristiti segmentaciju mreže kako bi se odvojili vitalni sistemi od manje sigurnih oblasti mreže uz ograničenje neželjene komunikacije između segmenata,
  • Redovno praćenje mrežnog saobraćaja radi neuobičajenih aktivnosti i porasta zahteva, kao i redovni pregled i ažuriranje procesa i alata za analizu mrežnog saobraćaja,
  • Edukacija zaposlenih o rizicima koji se odnose na mrežu, uređaje i infrastrukturu poslovne organizacije mogu značajno pomoći u prevenciji napada, jer ljudski faktor ostaje jedna od najvećih ranjivosti u sajber bezbjednosti. Redovne obuke zaposlenih mogu pomoći u identifikaciji i prijavi sajber napada.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.