DinodasRAT-malware richt zich op Linux-servers in spionagecampagne

Abraham54

Administrator
Forumleiding
Lid geworden
2 aug 2016
Berichten
34.577
Leeftijd
70
OS
Windows 11 Professional
AV
Microsoft Defender
FW
Windows Firewall

DinodasRAT-malware richt zich op Linux-servers in spionagecampagne​

Door Bill Toulas
Publicutie van BleepingComputer


Linux_tux.jpg

Beveiligingsonderzoekers hebben waargenomen dat Red Hat- en Ubuntu-systemen worden aangevallen door een Linux-versie van
de DinodasRAT (ook bekend als XDealer) die mogelijk al sinds 2022 actief is.

De Linux-variant van de malware is niet openbaar beschreven, hoewel de eerste versie is getraceerd naar 2021.

Cyberbeveiligingsbedrijf ESET heeft eerder gezien dat DinodasRAT Windows-systemen aantastte in een spionagecampagne met de
naam 'Operation Jacana', die gericht was op overheidsinstanties.

Eerder deze maand berichtte Trend Micro over een Chinese APT-groep die ze opsporen onder de naam 'Earth Krahang'. Deze groep
gebruikte XDealer om in te breken in zowel Windows- als Linux-systemen van overheden wereldwijd.


DinodasRAT details​

In een rapport eerder deze week zeggen onderzoekers van Kaspersky dat de Linux-variant van DinodasRAT na uitvoering een
verborgen bestand aanmaakt in de map waar de binary zich bevindt, dat fungeert als een mutex om te voorkomen dat meerdere
instanties op het geïnfecteerde apparaat worden uitgevoerd.

Vervolgens stelt de malware persistentie in op de computer met behulp van SystemV of SystemD opstartscripts. Om detectie te
bemoeilijken, voert de malware vervolgens nog een keer uit terwijl het bovenliggende proces wacht.


execution-logic.png

De uitvoeringslogica van de malware (Kaspersky)


De geïnfecteerde machine wordt getagd aan de hand van infectie-, hardware- en systeemgegevens en het rapport wordt naar de
commando- en controleserver (C2) gestuurd om de hosts van het slachtoffer te beheren.


unique-ID.png

De unieke ID van het slachtoffer maken (Kaspersky)


De communicatie met de C2-server verloopt via TCP of UDP, terwijl de malware gebruikmaakt van het Tiny Encryption Algorithm
(TEA) in CBC-modus, waardoor de gegevensuitwisseling beveiligd is.


dinodas-packet.png

Netwerkpakketstructuur van Dinodas (Kaspersky)


DinodasRAT heeft mogelijkheden die zijn ontworpen om gegevens van aangetaste systemen te bewaken, controleren en exfiltreren.
De belangrijkste kenmerken zijn:
  • Bewaken en verzamelen van gegevens over gebruikersactiviteiten, systeemconfiguraties en draaiende
    processen.


  • Opdrachten voor uitvoering ontvangen van de C2, waaronder bestands- en mapacties, shellcommando's
    uitvoeren en het C2-adres bijwerken.


  • Opsommen, starten, stoppen en beheren van processen en services op het geïnfecteerde systeem.

  • De aanvallers een shell op afstand bieden voor het direct uitvoeren van commando's of bestanden in
    afzonderlijke bedreigingen.


  • C2-communicatie proxy'en via externe servers.

  • Nieuwe versies van de malware downloaden die mogelijk verbeteringen en extra mogelijkheden bevatten.

  • Zichzelf verwijderen en alle sporen van eerdere activiteiten van het systeem wissen.

Volgens de onderzoekers geeft DinodasRAT de aanvaller volledige controle over aangetaste systemen. Ze merken op dat de
dreiger de malware voornamelijk gebruikt om toegang te krijgen en te houden tot het doelwit via Linux-servers.

"De achterdeur is volledig functioneel en geeft de aanvaller volledige controle over de geïnfecteerde machine, waardoor data
exfiltratie en spionage mogelijk is", aldus Kaspersky.

Kaspersky geeft geen details over de initiële infectiemethode, maar merkt op dat de malware sinds oktober 2023 slachtoffers
treft in China, Taiwan, Turkije en Oezbekistan.
 
Het mag en moet gezegd worden, hou je server up-to-date!
 
Ik veronderstel dat iedere hosting op de hoogte is van dit probleem, en dat zij de servers up to date houden.Of tenzij je een server hebt genomen die je zelf moet onderhouden?
 
Server up to date houden doe ik altijd, helaas doen er dat velen niet.


Je moest eens weten hoeveel hosters hun OS niet eens up to date houden... triest.
ik denk dat vimexx dat wel doet, en daarbij hem hun gemaild hierover
 
Terug
Bovenaan Onderaan