DinodasRAT
Ha surgido una puerta trasera multiplataforma conocida como DinodasRAT, dirigida específicamente a regiones como China, Taiwán, Turquía y Uzbekistán. También reconocido como XDealer, DinodasRAT opera en sistemas Linux y está construido en C++, que está equipado para extraer una amplia gama de datos confidenciales de máquinas comprometidas.
En octubre de 2023, los investigadores revelaron que un organismo gubernamental en Guyana estaba bajo asedio como parte de una iniciativa de ciberespionaje denominada Operación Jacana, que se centraba en implementar la versión de Windows de este implante amenazador. A finales de marzo de 2024, los investigadores describieron un grupo de actividades de amenaza conocido como Earth Krahang, que aparentemente ha pasado a emplear DinodasRAT desde 2023 en sus ataques, dirigidos a numerosas entidades gubernamentales en todo el mundo.
Tabla de contenido
DinodasRAT ha sido desarrollado continuamente por ciberdelincuentes
El uso de DinodasRAT se ha atribuido a varios actores de amenazas del nexo con China, incluido LuoYu, lo que refleja una vez más el intercambio de herramientas que prevalece entre los equipos de hackers identificados como que actúan en nombre del país.
Los investigadores tropezaron con una versión para Linux del malware (V10) a principios de octubre de 2023. La evidencia recopilada hasta ahora muestra que la primera variante conocida (V7) se remonta a julio de 2021. Desde entonces, se detectó una versión de próxima generación (V11) en noviembre. 2023.
Está diseñado principalmente para distribuciones basadas en Red Hat y Ubuntu Linux. Tras la ejecución, establece persistencia en el host mediante el uso de scripts de inicio SystemV o SystemD. Periódicamente se pone en contacto con un servidor remoto a través de TCP o UDP para recuperar los comandos que se ejecutarán.
DinodasRAT es una amenaza sofisticada con numerosas capacidades intrusivas
DinodasRAT viene equipado con una variedad de capacidades, que incluyen operaciones de archivos, alteración de direcciones de comando y control (C2), identificación y finalización de procesos activos, ejecución de comandos de shell, obtención de versiones actualizadas de la puerta trasera e incluso eliminación automática.
Para evitar la detección por herramientas de depuración y monitoreo, DinodasRAT emplea técnicas de evasión. Al igual que su contraparte de Windows, utiliza el algoritmo de cifrado diminuto (TEA) para cifrar las comunicaciones C2.
DinodasRAT se centra principalmente en establecer y mantener el acceso a través de servidores Linux en lugar de reconocimiento. Opera de manera eficiente, otorgando al operador control total sobre el sistema comprometido y facilitando el robo de datos y el espionaje.
Se cree que se originó a partir de un proyecto de código abierto conocido como SimpleRemoter, que tiene sus raíces en Gh0st RAT , DinodasRAT ha evolucionado hasta convertirse en un malware completamente funcional con capacidades significativas. Algunos investigadores, como Linodas, han rastreado la versión Linux recién descubierta de la amenaza.
Ha surgido una variante Linux de DinodasRAT
Las personas detrás de esta amenaza demuestran un alto dominio de los sistemas Linux. Su decisión de soportar este sistema operativo va más allá de una mera adaptación de un troyano de acceso remoto (RAT) de Windows con directivas de compilación condicionales (#ifdef). Más bien, se trata de un proyecto completamente distinto con su propia base de código, posiblemente gestionado por un equipo de desarrollo independiente.
Esta última versión de la puerta trasera introduce nuevas funcionalidades, incluida la capacidad de crear múltiples subprocesos para monitorear el sistema, descargar módulos complementarios capaces de interrumpir archivos binarios específicos del sistema y finalizar sesiones inactivas de shell inverso después de aproximadamente una hora.
El objetivo principal del módulo adicional, denominado "módulo de filtro", es servir como proxy para ejecutar archivos binarios originales (por ejemplo, comandos como "who", "netstat" y "ps") y controlar su salida. . Esto permite a los actores de amenazas extraer información del host mientras evaden la detección de manera más efectiva.
La sofisticación y las capacidades ampliadas observadas en esta amenaza subrayan el enfoque continuo de los actores de amenazas en atacar servidores Linux. Estos ataques sirven tanto para establecer una presencia persistente como para servir como punto de pivote dentro de las redes comprometidas. Es probable que esta estrategia aproveche el nivel comparativamente más bajo de medidas de seguridad que normalmente se implementan en los sistemas Linux, lo que permite a los atacantes profundizar su presencia y operar de forma encubierta durante períodos prolongados.
