Check Point Research проанализировала последнюю Linux-версию (v11) DinodasRAT - кроссплатформенного бэкдора, который был замечен в атаках китайского угрожающего актера LuoYu.
Вредоносная программа является более зрелой, чем версия для Windows, и обладает набором возможностей, специально разработанных для Linux-серверов. В последней версии появился отдельный модуль уклонения, позволяющий скрыть следы присутствия вредоносного ПО в системе путем проксирования и модификации исполнения системных двоичных файлов. Вредоносная программа устанавливается на Linux-серверы, чтобы получить дополнительную точку опоры в сети.
Изначально DinodasRAT был основан на проекте с открытым исходным кодом SimpleRemoter, инструменте удаленного доступа, основанном на Gh0st RAT, но с несколькими дополнительными обновлениями.
Indicators of Compromise
SHA256
- 15412d1a6b7f79fad45bcd32cf82f9d651d9ccca082f98a0cca3ad5335284e45
- 3d93b8954ed1441516302681674f4989bd0f20232ac2b211f4b601af0fcfc13b
- 57f64f170dfeaa1150493ed3f63ea6f1df3ca71ad1722e12ac0f77744fb1a829
- 6302acdfce30cec5e9167ff7905800a6220c7dda495c0aae1f4594c7263a29b2
- 98b5b4f96d4e1a9a6e170a4b2740ce1a1dfc411ada238e42a5954e66559a5541
- a2c3073fa5587f8a70d7def7fd8355e1f6d20eb906c3cd4df8c744826cb81d91
- bf830191215e0c8db207ea320d8e795990cf6b3e6698932e6e0c9c0588fc9eff
- ebdf3d3e0867b29e66d8b7570be4e6619c64fae7e1fbd052be387f736c980c8e