DinodasRAT
DinodasRAT として知られるクロスプラットフォームのバックドアが実際に出現し、特に中国、台湾、トルコ、ウズベキスタンなどの地域をターゲットにしています。 XDealer としても認識される DinodasRAT は、Linux システム上で動作し、侵害されたマシンからさまざまな機密データを抽出する機能を備えた C++ で構築されています。
2023 年 10 月、捜査当局は、この脅威的なインプラントの Windows 反復展開の展開に焦点を当てた、「ジャカナ作戦」と呼ばれるサイバースパイ活動の一環として、ガイアナの政府機関が包囲されていることを明らかにしました。 2024 年 3 月下旬、研究者らは Earth Krahang として知られる一連の脅威活動の概要を発表しました。この活動は、2023 年以降、世界中の多数の政府機関を標的とした攻撃に DinodasRAT を使用することに移行したようです。
目次
DinodasRAT はサイバー犯罪者によって継続的に開発されています
DinodasRAT の使用は、LuoYu を含む中国と結びついたさまざまな脅威アクターによるものであると考えられており、これもまた、国を代表して行動していると特定されたハッキング集団の間で蔓延しているツールの共有を反映しています。
研究者らは、2023 年 10 月初旬にこのマルウェアの Linux バージョン (V10) を発見しました。これまでに収集された証拠によると、最初に知られている亜種 (V7) は 2021 年 7 月に遡ります。その後、次世代バージョン (V11) が 11 月に検出されました。 2023年。
これは主に Red Hat ベースのディストリビューションと Ubuntu Linux をターゲットにするように設計されています。実行すると、SystemV または SystemD 起動スクリプトを使用してホスト上に永続性が確立されます。定期的に TCP または UDP 経由でリモート サーバーに接続し、実行するコマンドを取得します。
DinodasRAT は多数の侵入機能を備えた高度な脅威です
DinodasRAT には、ファイル操作、コマンド アンド コントロール (C2) アドレスの変更、アクティブなプロセスの特定と終了、シェル コマンドの実行、バックドアの更新バージョンの取得、さらには自己削除など、さまざまな機能が備わっています。
デバッグおよび監視ツールによる検出を回避するために、DinodasRAT は回避技術を採用しています。 Windows の対応物と同様に、Tiny Encryption Algorithm (TEA) を利用して C2 通信を暗号化します。
DinodasRAT は主に、偵察ではなく、Linux サーバーを介したアクセスの確立と維持に重点を置いています。効率的に動作し、オペレータが侵害されたシステムを完全に制御できるようになり、データの盗難やスパイ行為が容易になります。
DinodasRAT は、 Gh0st RATをルーツとする SimpleRemoter として知られるオープンソース プロジェクトに由来すると考えられており、重要な機能を備えた完全に機能するマルウェアに進化しました。新たに発見されたこの脅威の Linux バージョンは、Linodas などの一部の研究者によって追跡されています。
DinodasRAT の Linux 版が登場
この脅威の背後にいる人物は、Linux システムに関して高い熟練度を示しています。このオペレーティング システムをサポートするという彼らの決定は、条件付きコンパイル ディレクティブ (#ifdef) を使用した Windows リモート アクセス トロイの木馬 (RAT) の単なる適応を超えています。むしろ、独自のコードベースを備えた完全に別個のプロジェクトが関与しており、おそらく別の開発チームによって管理されています。
このバックドアの最新版では、システム監視用の複数のスレッドの作成機能、特定のシステム バイナリを中断できる補足モジュールのダウンロード機能、非アクティブなリバース シェル セッションを約 1 時間後に終了する機能など、新しい機能が導入されています。
「フィルター モジュール」と呼ばれる追加モジュールの主な目的は、元のバイナリ (例: 「who」、「netstat」、「ps」などのコマンド) を実行し、その出力を制御するためのプロキシとして機能することです。 。これにより、攻撃者はより効果的に検出を回避しながら、ホストから情報を抽出できるようになります。
この脅威で観察された機能の高度化と拡張は、攻撃者が Linux サーバーをターゲットにすることに継続的に焦点を当てていることを浮き彫りにしています。このような攻撃は、永続的な存在を確立することと、侵害されたネットワーク内でのピボット ポイントとして機能することの両方に役立ちます。この戦略は、Linux システムに一般的に導入されている比較的低レベルのセキュリティ対策を利用している可能性が高く、攻撃者が足場を深め、長期間にわたって秘密裏に活動することを可能にします。
