Linux-вариант DinodasRAT нацелен на пользователей по всему миру.

Исследователи компании Kaspersky предупредили о существовании варианта программы-троя DinodasRAT для операционной системы Linux. Данная версия трояна использовалась для атак на пользователей в Китае, Тайване, Турции и Узбекистане.

DinodasRAT - это многоплатформенный троян, написанный на языке C++, который способен вести слежку за пользователями и крадет конфиденциальные данные с их систем.

Исследователи из компании ESET ранее обнаружили Windows-версию DinodasRAT, которая использовалась в атаках на государственные учреждения в Гайане. Однако в октябре 2023 года ими была обнаружена новая версия DinodasRAT для Linux, хотя эксперты полагают, что она активна уже с 2022 года.

В марте 2024 года исследователи Trend Micro раскрыли сложную кампанию, осуществляемую группой хакеров, известной как Earth Krahang. Кампания сконцентрирована преимущественно на атаках на государственные организации и, вероятно, активна как минимум с начала 2022 года. С 2023 года Earth Krahang начала использовать другой троян, названный XDealer, который предоставляет больше возможностей для проведения кибератак. Кроме того, злоумышленники используют как версию для Windows, так и для Linux.

DinodasRAT Linux используется преимущественно для атак на дистрибутивы Red Hat и Ubuntu Linux. После заражения троян создает скрытый файл в той же директории, где находится исполняемый файл, с именем в формате ".[имя_файла].mu". Троян устанавливает постоянное присутствие в системе, используя скрипты для запуска SystemV или SystemD.

Рекомендуемые новости

БМА, бизнес объединяются в борьбе с денге

25 октября

Розоватая вилла укореняется на пом Estate Lancôme в Грасе и другие новости – SURFACE

26 октября

Землетрясение магнитудой 6,3 балла произошло в центральной Греции

25 октября

Контроль за арендой сейчас!

25 октября

поздоровайся с соросом! полемика вокруг максидоната в 1 миллион евро на некоммерческую организацию, которая имеет

25 октября

Рекомендуемая недвижимость

Аренда квартиры в Махмутларе 658,00 $

Турция,Махмутлар

1 спальня

1 санузел

70 м²

Продажа квартиры в Газипаше 265 577,00 $

Турция,Газипаша

2 спальни

2 санузла

81 м²

Продажа дома в Бахчелиэвлере 730 800,00 $

Турция,Бахчелиэвлер

3 спальни

3 санузла

235 м²

Продажа квартиры в Стамбуле 430 000,00 $

Турция,Стамбул

3 спальни

3 санузла

182 м²

Продажа квартиры в Махмутларе 96 206,00 $

Турция,Махмутлар

1 спальня

1 санузел

55 м²

Продажа квартиры в Демирташе 225 750,00 $

Турция,Демирташ

2 спальни

2 санузла

64 м²

Он собирает информацию о зараженной машине и отправляет ее на сервер команд и контроля. Как Windows, так и Linux-версии DinodasRAT использовали TCP или UDP для связи с сервером. Домен сервера заранее зашифрован в исполняемом файле.

Отметим, что злоумышленники не собирают информацию о конкретных пользователях для генерации UID. В UID обычно содержится дата заражения, MD5-хеш вывода команды dmidecode (детальный отчет о встроенной аппаратной части системы), случайно сгенерированный идентификатор и версия трояна.

В тексте приведен список команд, поддерживаемых трояном:

IDFunctionCommand
0x02DirClassСписок содержимого директории.
0x03DelDirУдалить директорию.
0x05UpLoadFileЗагрузить файл на C2.
0x06StopDownLoadFileОстановить загрузку файла.
0x08DownLoadFileЗагрузить удаленный файл на систему.
0x09StopDownFileОстановить загрузку файла.
0x0EDealChgIpИзменить удаленный адрес C2.
0x0FCheckUserLoginПроверить вошедших в систему пользователей.
0x11EnumProcessПеречислить запущенные процессы.
0x12StopProcessЗавершить запущенный процесс.
0x13EnumServiceИспользовать chkconfig и перечислить все доступные службы.
0x14ControlServiceУправление доступной службой. При передаче аргумента 1 - служба запустится, 0 - остановится, а 2 - остановится и будет удалена.
0x18DealExShellВыполнить команду оболочки и отправить ее вывод на C2.
0x19ExecuteFileВыполнить указанный путь к файлу в отдельном потоке.
0x1ADealProxyПроксирует связь с сервером C2 через удаленный прокси-сервер.
0x1BStartShellСоздать оболочку для взаимодействия с злоумышленником.
0x1CReRestartShellПерезапустить созданную оболочку.
0x1DStopShellОстановить выполнение текущей оболочки.
0x1EWriteShellЗаписать команды в текущую оболочку или создать новую, если это нужно.
0x27DealFileЗагрузить и установить новую версию трояна.
0x28DealLocalProxyОтправить сообщение "OK".
0x2BConnectCtlУправлять типом подключения.
0x2CProxyCtlУправлять типом прокси.
0x2DTrans_modeУстановить или получить режим передачи файлов (TCP/UDP).
0x2EUninstallУдалить троян и удалить все следы в системе.

В линукс-версии DinodasRAT для шифрования и дешифрования данных используется библиотека qq_crypt из Pidgin. Она использует алгоритм шифрования Tiny Encryption Algorithm (TEA) в режиме CBC для шифрования и расшифрования данных.

В заключении отчета говорится, что троян DinodasRAT не собирает информацию о пользователях для управления атаками, а собирает аппаратные данные, которые используются для генерации UID. Основная цель DinodasRAT - получить и удерживать доступ к серверам на базе Linux, скрываясь при этом от обнаружения. Троян полностью функционален и предоставляет злоумышленнику полный контроль над зараженной машиной, позволяя осуществлять кражу данных и шпионаж.

Вы можете следить за мной в Twitter: @securityaffairs и Facebook и Mastodon.

Автор: Пьерлуиджи Паганини (SecurityAffairs – взлом, Linux).