智能摘要 AI
DinodasRAT是一种多平台后门恶意软件,主要针对Linux系统,能够从受感染主机获取敏感数据。该恶意软件被发现在中国、台湾、土耳其和乌兹别克斯坦等地活跃,与多个网络间谍活动相关,如“Jacana行动”和Earth Krahang。它由C++编写,支持文件操作、进程管理、命令执行等功能,并通过TCP/UDP与远程服务器通信。DinodasRAT使用SystemV或SystemD建立持久性,采用TEA算法加密通信以逃避检测。
Linux版本的多平台后门称为DinodasRAT。卡巴斯基的新发现显示,在野生环境中检测到了针对中国、台湾、土耳其和乌兹别克斯坦的病毒。
DinodasRAT,也被称为XDealer,是一种基于C++的恶意软件,能够从受损的主机中获取广泛的敏感数据。
2023年10月,斯洛伐克网络安全公司ESET透露,圭亚那的一个政府实体已成为网络间谍活动的目标,该活动被称为“Jacana行动”,目的是部署Windows版本的植入物。
上周,趋势科技详细介绍了其追踪的一个威胁活动集群,称为Earth Krahang,自2023年以来,该集群在针对全球多个政府实体的攻击中已转向使用DinodasRAT。
DinodasRAT的使用被归因于包括罗宇在内的各种中国关系威胁行为者,这再次反映了被认定为代表国家行事的黑客团队中普遍存在的工具共享现象。
卡巴斯基表示,他们在2023年10月初发现了Linux版本的恶意软件(V10)。迄今为止收集的证据表明,第一个已知的变体(V7)可以追溯到2021年。
它主要是针对基于Red Hat的发行版和Ubuntu Linux而设计的。在执行时,它通过使用SystemV或SystemD启动脚本在主机上建立持久性,并定期通过TCP或UDP联系远程服务器以获取要运行的命令。
DinodasRAT可以执行文件操作、更改命令和控制(C2)地址、枚举和终止正在运行的进程、执行shell命令、下载新版本的后门,甚至自行卸载。
它还通过调试和监控工具采取措施来逃避检测,并与Windows的同类工具一样,利用微小加密算法(TEA)来加密C2通信。
评论 (0)