前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >DinodasRAT 恶意软件针对多国政府发起攻击

DinodasRAT 恶意软件针对多国政府发起攻击

作者头像
FB客服
发布2024-04-02 12:29:19
2130
发布2024-04-02 12:29:19
举报
文章被收录于专栏:FreeBuf

根据卡巴斯基的最新发现,在针对土耳其、乌兹别克斯坦等多国的 Linux 版本中检测到了一个名为DinodasRAT 的多平台后门。

DinodasRAT,也称为XDealer,是一种基于C++的恶意软件,能够从受感染的主机中收集各种敏感数据。

近日,有安全研究人员发现 Red Hat 和 Ubuntu 系统也受到了 Linux 版 DinodasRAT恶意软件的攻击,并且该恶意软件可能从 2022 年就开始运行了。

此前网络安全公司 ESET 还在一次名为 "Jacana 行动 "的间谍活动中发现 DinodasRAT 入侵了 Windows 系统,当时该恶意软件的攻击目标是政府。

DinodasRAT 的详细信息

在本周早些时候发布的一份报告中,卡巴斯基公司的研究人员称,DinodasRAT的Linux变种被执行后,会在其二进制文件所在的目录中创建一个隐藏文件,该文件充当互斥器,以防止多个实例在受感染设备上运行。

随后,恶意软件会使用 SystemV 或 SystemD 启动脚本在计算机上设置持久性。为了使检测更加复杂,恶意软件会在父进程等待时再执行一次。

恶意软件的执行逻辑(图源:卡巴斯基)

使用感染、硬件和系统详细信息对受感染机器进行标记,并将报告发送到命令与控制(C2)服务器,以管理受害主机。

为受害者创建唯一 ID(图源:卡巴斯基)

恶意软件通过 TCP 或 UDP 与 C2 服务器进行通信,并在 CBC 模式下使用微小加密算法 (TEA),确保数据交换安全。

Dinodas 网络数据包结构(图源:卡巴斯基)

DinodasRAT 具有监视、控制和从被入侵系统中外泄数据的功能。其主要功能包括:

  • 监控和收集有关用户活动、系统配置和运行进程的数据
  • 接收来自 C2 的执行命令,包括文件和目录操作、执行 shell 命令和更新 C2 地址
  • 枚举、启动、停止和管理受感染系统上的进程和服务
  • 向攻击者提供远程 shell,以便在单独的威胁中直接执行命令或文件
  • 通过远程服务器代理 C2 通信
  • 下载恶意软件的新版本,这些版本可能包含改进和附加功能
  • 卸载并清除系统中所有以前的活动痕迹

据研究人员称,DinodasRAT 让攻击者可以完全控制被入侵的系统。他们指出,威胁者使用该恶意软件主要是为了通过 Linux 服务器获得并保持对目标的访问权限。

"卡巴斯基说:"后门功能齐全,操作员可以完全控制受感染的机器,实现数据外渗和间谍活动。

卡巴斯基没有提供有关初始感染方法的详细信息,但指出自2023年10月以来,该恶意软件影响了中国、台湾、土耳其和乌兹别克斯坦的受害者。

BleepingComputer、Thehackernews

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2024-04-01,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档