Linux-вариант DinodasRAT нацелен на пользователей по всему миру.

Исследователи компании Kaspersky предупредили о существовании варианта программы-троя DinodasRAT для операционной системы Linux. Данная версия трояна использовалась для атак на пользователей в Китае, Тайване, Турции и Узбекистане.

DinodasRAT - это многоплатформенный троян, написанный на языке C++, который способен вести слежку за пользователями и крадет конфиденциальные данные с их систем.

Исследователи из компании ESET ранее обнаружили Windows-версию DinodasRAT, которая использовалась в атаках на государственные учреждения в Гайане. Однако в октябре 2023 года ими была обнаружена новая версия DinodasRAT для Linux, хотя эксперты полагают, что она активна уже с 2022 года.

В марте 2024 года исследователи Trend Micro раскрыли сложную кампанию, осуществляемую группой хакеров, известной как Earth Krahang. Кампания сконцентрирована преимущественно на атаках на государственные организации и, вероятно, активна как минимум с начала 2022 года. С 2023 года Earth Krahang начала использовать другой троян, названный XDealer, который предоставляет больше возможностей для проведения кибератак. Кроме того, злоумышленники используют как версию для Windows, так и для Linux.

DinodasRAT Linux используется преимущественно для атак на дистрибутивы Red Hat и Ubuntu Linux. После заражения троян создает скрытый файл в той же директории, где находится исполняемый файл, с именем в формате ".[имя_файла].mu". Троян устанавливает постоянное присутствие в системе, используя скрипты для запуска SystemV или SystemD.

Рекомендуемые новости

Бостонский совет по недвижимости готовит кампанию против налога на передачу прав собственности.

сегодня 14:41

День 7 суда по делу Трампа о тайном деньгах в Нью-Йорке

сегодня 17:18

Стенограмма телефонного разговора о финансовых результатах Cathay General Bancorp (NASDAQ: CATY) за 1 квартал 2024 года.

сегодня 19:23

Более 3,7 млн. иностранных туристов покупают жилье в собственность в Испании

сегодня 23:01

Компания с открытыми акциями переезжает штаб-квартиру из Росслин в Росслин.

сегодня 10:08

Рекомендуемая недвижимость

Продажа квартиры в Стамбуле 1 000 000,00 $

Турция,Стамбул

3 спальни

150 м²

Продажа квартиры в Неаполе 442 838,00 $

Италия,Неаполь

3 спальни

2 санузла

85 м²

Продажа квартиры в Стамбуле 548 646,00 $

Турция,Стамбул

1 спальня

11 санузлов

156 м²

Продажа квартиры в Махмутларе 135 692,00 $

Турция,Махмутлар

1 спальня

1 санузел

40 м²

Продажа квартиры в Мерсине 71 243,00 $

Турция,Мерсин

2 спальни

74 м²

Продажа квартиры в Махмутларе 140 000,00 $

Турция,Махмутлар

1 спальня

1 санузел

57 м²

Он собирает информацию о зараженной машине и отправляет ее на сервер команд и контроля. Как Windows, так и Linux-версии DinodasRAT использовали TCP или UDP для связи с сервером. Домен сервера заранее зашифрован в исполняемом файле.

Отметим, что злоумышленники не собирают информацию о конкретных пользователях для генерации UID. В UID обычно содержится дата заражения, MD5-хеш вывода команды dmidecode (детальный отчет о встроенной аппаратной части системы), случайно сгенерированный идентификатор и версия трояна.

В тексте приведен список команд, поддерживаемых трояном:

IDFunctionCommand
0x02DirClassСписок содержимого директории.
0x03DelDirУдалить директорию.
0x05UpLoadFileЗагрузить файл на C2.
0x06StopDownLoadFileОстановить загрузку файла.
0x08DownLoadFileЗагрузить удаленный файл на систему.
0x09StopDownFileОстановить загрузку файла.
0x0EDealChgIpИзменить удаленный адрес C2.
0x0FCheckUserLoginПроверить вошедших в систему пользователей.
0x11EnumProcessПеречислить запущенные процессы.
0x12StopProcessЗавершить запущенный процесс.
0x13EnumServiceИспользовать chkconfig и перечислить все доступные службы.
0x14ControlServiceУправление доступной службой. При передаче аргумента 1 - служба запустится, 0 - остановится, а 2 - остановится и будет удалена.
0x18DealExShellВыполнить команду оболочки и отправить ее вывод на C2.
0x19ExecuteFileВыполнить указанный путь к файлу в отдельном потоке.
0x1ADealProxyПроксирует связь с сервером C2 через удаленный прокси-сервер.
0x1BStartShellСоздать оболочку для взаимодействия с злоумышленником.
0x1CReRestartShellПерезапустить созданную оболочку.
0x1DStopShellОстановить выполнение текущей оболочки.
0x1EWriteShellЗаписать команды в текущую оболочку или создать новую, если это нужно.
0x27DealFileЗагрузить и установить новую версию трояна.
0x28DealLocalProxyОтправить сообщение "OK".
0x2BConnectCtlУправлять типом подключения.
0x2CProxyCtlУправлять типом прокси.
0x2DTrans_modeУстановить или получить режим передачи файлов (TCP/UDP).
0x2EUninstallУдалить троян и удалить все следы в системе.

В линукс-версии DinodasRAT для шифрования и дешифрования данных используется библиотека qq_crypt из Pidgin. Она использует алгоритм шифрования Tiny Encryption Algorithm (TEA) в режиме CBC для шифрования и расшифрования данных.

В заключении отчета говорится, что троян DinodasRAT не собирает информацию о пользователях для управления атаками, а собирает аппаратные данные, которые используются для генерации UID. Основная цель DinodasRAT - получить и удерживать доступ к серверам на базе Linux, скрываясь при этом от обнаружения. Троян полностью функционален и предоставляет злоумышленнику полный контроль над зараженной машиной, позволяя осуществлять кражу данных и шпионаж.

Вы можете следить за мной в Twitter: @securityaffairs и Facebook и Mastodon.

Автор: Пьерлуиджи Паганини (SecurityAffairs – взлом, Linux).