DinodasRAT 恶意软件以Linux服务器为目标对多国进行攻击

作者：从前慢现在也慢 | 2024-04-22 15:04:44

踩

近日，有安全研究人员发现 Red Hat 和 Ubuntu 系统也受到了 Linux 版 DinodasRAT恶意软件的攻击，并且该恶意软件可能从 2022 年就开始运行了。

此前网络安全公司 ESET 还在一次名为 "Jacana 行动 "的间谍活动中发现 DinodasRAT 入侵了 Windows 系统，当时该恶意软件的攻击目标是政府。

DinodasRAT 的详细信息

在本周早些时候的一份报告中，卡巴斯基的研究人员表示，DinodasRAT 的 Linux 变体在执行时会在其二进制文件所在的目录中创建一个隐藏文件，该文件充当互斥器，以防止多个实例在受感染的设备上运行。

然后，恶意软件使用 SystemV 或 SystemD 启动脚本在计算机上设置持久性。为了使检测变得复杂，恶意软件会在父进程等待时再次执行。

恶意软件的执行逻辑 （图片来源：卡巴斯基）

使用感染、硬件和系统详细信息对受感染的计算机进行标记，并将报告发送到命令和控制 (C2) 服务器以管理受害主机。

为受害者创建唯一 ID （图片来源：卡巴斯基）

该恶意软件与 C2 服务器的通信通过 TCP 或 UDP 进行，在 CBC 模式下利用微型加密算法 (TEA)以确保安全的数据交换。

Dinodas网络数据包结构 （图片来源：卡巴斯基）

DinodasRAT 具有旨在监视、控制和从受感染系统中窃取数据的功能。其主要特点包括：

监视和收集有关用户活动、系统配置和运行流程的数据。
接收来自 C2 的执行命令，包括文件和目录操作、shell 命令执行以及更新 C2 地址。
枚举、启动、停止和管理受感染系统上的进程和服务。
为攻击者提供远程 shell，以便在单独的威胁中直接执行命令或文件。
通过远程服务器代理 C2 通信。
下载可能包含改进和附加功能的恶意软件的新版本。
自行卸载并从系统中擦除其先前活动的所有痕迹。

研究人员表示，DinodasRAT 使攻击者能够完全控制受感染的系统。攻击者主要使用恶意软件来通过 Linux 服务器获取和维护对目标的访问。

卡巴斯基表示，后门功能齐全，使攻击者能够完全控制受感染的机器，从而实现数据泄露和间谍活动。

卡巴斯基没有提供有关初始感染方法的详细信息，但指出自 2023 年 10 月以来，该恶意软件影响了中国、台湾、土耳其和乌兹别克斯坦的受害者。

原文地址：https://www.bleepingcomputer.com/news/security/dinodasrat-malware-targets-linux-servers-in-espionage-campaign/?traffic_source=Connatix#google_vignette

图片来源：https://www.bleepingcomputer.com/news/security/dinodasrat-malware-targets-linux-servers-in-espionage-campaign/?traffic_source=Connatix#google_vignette

申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。