Исследователи обнаружили, что Red Hat и Ubuntu подвергаются атакам Linux-версии малвари DinodasRAT (она же XDealer), которая, вероятно, активна еще с 2022 года.
Осенью прошлого года компания ESET рассказывала о вредоносе DinodasRAT, который атаковал Windows-системы. Исследователи назвали эти атаки «Операция Jacana» и писали, что те нацелены на правительственные организации с целью кибершпионажа.
Кроме того, ранее недавно эксперты компании Trend Micro сообщали о китайской APT-группе, которую они отслеживают под именем Earth Krahang. Эта группировка использовала вредоноса XDealer для взлома Windows- и Linux-систем правительственных организаций по всему миру.
В своем отчете, опубликованном теперь «Лабораторией Касперского», подробно рассказывает о Linux-варианте DinodasRAT (он же XDealer), который эксперты описывают как кроссплатформенный бэкдор, написанный на C++.
Исследователи не сообщают ничего о способе изначального распространения малвари, но отмечают, что с октября 2023 года она атакует жертв в Китае, Тайване, Турции и Узбекистане. По их словам, DinodasRAT предоставляет злоумышленнику полный контроль над взломанными системами, и хакеры в основном используют его для получения и поддержания доступа к целям через Linux-серверы.
«Бэкдор полностью функционален и предоставляет операторам полный контроль над зараженной машиной, позволяя осуществлять эксфильтрацию данных и шпионаж», — пишут специалисты.
Исследователи рассказывают, что при запуске Linux-вариант DinodasRAT создает скрытый файл в каталоге, где находится его бинарник, который действует как мьютекс, предотвращающий запуск нескольких экземпляров вредоноса на зараженном устройстве. Далее малварь закрепляется в системе с помощью SystemV или SystemD.
Зараженная машина помечается с помощью сведений о заражении, аппаратном и системном обеспечении, после чего отчет о заражении отправляется на управляющий сервер.
Связь с сервером хакеров осуществляется по протоколам TCP или UDP, при этом малварь использует алгоритм шифрования Tiny Encryption Algorithm (TEA) в режиме CBC, чтобы защитить этот обмен данными.
Согласно отчету, DinodasRAT обладает возможностями для мониторинга, контроля и эксфильтрации данных из взломанных систем. А к его основным функциям относятся:
- мониторинг и сбор данных о действиях пользователей, конфигурации системы и запущенных процессах;
- получение команд для выполнения от управляющего сервера, включая действия с файлами и каталогами, выполнение шелл-команд и обновление адреса управляющего сервера;
- перечисление, запуск, остановка и управление процессами и службами в зараженной системе;
- remote shell для прямого выполнения команд или файлов;
- проксирование C&C-коммуникаций через удаленные серверы.
- загрузка новых версий малвари;
- удаление себя и стирание всех следов предыдущей активности из системы.