「热议话题」Linux版本的DinodasRAT在多个国家的网络攻击中被发现插图
「热议话题」Linux版本的DinodasRAT在多个国家的网络攻击中被发现插图1

Linux版本的多平台后门称为DinodasRAT。卡巴斯基的新发现显示,在野生环境中检测到了针对中国、台湾、土耳其和乌兹别克斯坦的病毒。

DinodasRAT,也被称为XDealer,是一种基于C++的恶意软件,能够从受损的主机中获取广泛的敏感数据。

2023年10月,斯洛伐克网络安全公司ESET透露,圭亚那的一个政府实体已成为网络间谍活动的目标,该活动被称为“Jacana行动”,目的是部署Windows版本的植入物。

上周,趋势科技详细介绍了其追踪的一个威胁活动集群,称为Earth Krahang,自2023年以来,该集群在针对全球多个政府实体的攻击中已转向使用DinodasRAT。

DinodasRAT的使用被归因于包括罗宇在内的各种中国关系威胁行为者,这再次反映了被认定为代表国家行事的黑客团队中普遍存在的工具共享现象。

「热议话题」Linux版本的DinodasRAT在多个国家的网络攻击中被发现插图2

卡巴斯基表示,他们在2023年10月初发现了Linux版本的恶意软件(V10)。迄今为止收集的证据表明,第一个已知的变体(V7)可以追溯到2021年。

它主要是针对基于Red Hat的发行版和Ubuntu Linux而设计的。在执行时,它通过使用SystemV或SystemD启动脚本在主机上建立持久性,并定期通过TCP或UDP联系远程服务器以获取要运行的命令。

DinodasRAT可以执行文件操作、更改命令和控制(C2)地址、枚举和终止正在运行的进程、执行shell命令、下载新版本的后门,甚至自行卸载。

它还通过调试和监控工具采取措施来逃避检测,并与Windows的同类工具一样,利用微小加密算法(TEA)来加密C2通信。