DinodasRAT, также известный как XDealer, это мультиплатформенный бэкдор, написанный на C++, который позволяет злоумышленнику собирать конфиденциальные данные с компьютера жертвы. Он был использован в атаках на правительственные учреждения в Гайане и известен под названием Operation Jacana.
Недавно была обнаружена новая Linux-версия DinodasRAT. Она нацелена на дистрибутивы Red Hat и Ubuntu Linux. При заражении бэкдор создает скрытый файл в том же каталоге, что и исполняемый файл, и использует его в качестве мьютекса для гарантии запуска только одного экземпляра. Бэкдор также сохраняет свою персистентность на системе, используя стартовые скрипты SystemV или SystemD.
Перед установкой связи с сервером C2, бэкдор собирает информацию о зараженной машине и времени заражения, чтобы создать уникальный идентификатор машины. Он сохраняет эту информацию в скрытом файле "/etc/.netc.conf". Бэкдор также модифицирует метаданные файла, чтобы скрыть свою активность.
В Linux-версии DinodasRAT используются системы инициализации Systemd и SystemV для обеспечения постоянства на зараженной системе. Бэкдор определяет тип дистрибутива Linux, затем устанавливает соответствующий init-скрипт, который будет гарантировать его постоянную работу. Для Red Hat и Ubuntu используются различные скрипты инициализации.
Взаимодействие с сервером C2 осуществляется с помощью HTTP-запросов, зашифрованных с использованием протоколов RC4 и Base64. Бэкдор также поддерживает прокси-серверы и может выполнять команды удаленного управления, например, получение списка файлов и выполнение удаленных команд.
Исследователи ESET считают, что DinodasRAT разрабатывается активной киберпреступной группой, специализирующейся на нападениях на правительственные учреждения и критическую инфраструктуру. Бэкдор сложно обнаружить и имеет широкий спектр возможностей для сбора информации и управления зараженными системами.
Indicators of Compromise
IPv4
- 199.231.211.19
Domains
- update.centos-yum.com
MD5
- 8138f1af1dc51cde924aa2360f12d650
- decd6b94792a22119e1b5a1ed99e8961