Исследователи обнаружили, что Red Hat и Ubuntu подвергаются атакам Linux-версии малвари DinodasRAT (она же XDealer), которая, вероятно, активна еще с 2022 года.

Осенью прошлого года компания ESET рассказывала о вредоносе DinodasRAT, который атаковал Windows-системы. Исследователи назвали эти атаки «Операция Jacana» и писали, что те нацелены на правительственные организации с целью кибершпионажа.

Кроме того, ранее недавно эксперты компании Trend Micro сообщали о китайской APT-группе, которую они отслеживают под именем Earth Krahang. Эта группировка использовала вредоноса XDealer для взлома Windows- и Linux-систем правительственных организаций по всему миру.

В своем отчете, опубликованном теперь «Лабораторией Касперского», подробно рассказывает о Linux-варианте DinodasRAT (он же XDealer), который эксперты описывают как кроссплатформенный бэкдор, написанный на C++.

Исследователи не сообщают ничего о способе изначального распространения малвари, но отмечают, что с октября 2023 года она атакует жертв в Китае, Тайване, Турции и Узбекистане. По их словам, DinodasRAT предоставляет злоумышленнику полный контроль над взломанными системами, и хакеры в основном используют его для получения и поддержания доступа к целям через Linux-серверы.

«Бэкдор полностью функционален и предоставляет операторам полный контроль над зараженной машиной, позволяя осуществлять эксфильтрацию данных и шпионаж», — пишут специалисты.

Исследователи рассказывают, что при запуске Linux-вариант DinodasRAT создает скрытый файл в каталоге, где находится его бинарник, который действует как мьютекс, предотвращающий запуск нескольких экземпляров вредоноса на зараженном устройстве. Далее малварь закрепляется в системе с помощью SystemV или SystemD.

Зараженная машина помечается с помощью сведений о заражении, аппаратном и системном обеспечении, после чего отчет о заражении отправляется на управляющий сервер.

Связь с сервером хакеров осуществляется по протоколам TCP или UDP, при этом малварь использует алгоритм шифрования Tiny Encryption Algorithm (TEA) в режиме CBC, чтобы защитить этот обмен данными.

Согласно отчету, DinodasRAT обладает возможностями для мониторинга, контроля и эксфильтрации данных из взломанных систем. А к его основным функциям относятся:

  • мониторинг и сбор данных о действиях пользователей, конфигурации системы и запущенных процессах;
  • получение команд для выполнения от управляющего сервера, включая действия с файлами и каталогами, выполнение шелл-команд и обновление адреса управляющего сервера;
  • перечисление, запуск, остановка и управление процессами и службами в зараженной системе;
  • remote shell для прямого выполнения команд или файлов;
  • проксирование C&C-коммуникаций через удаленные серверы.
  • загрузка новых версий малвари;
  • удаление себя и стирание всех следов предыдущей активности из системы.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии