Linux Variante des Remote Access Trojaners DinodasRAT aufgetaucht

Eine vom Kasperky Threat Intelligence Team entdeckte Linux-Version von DinodasRAT, einem Remote Access Trojaner, auch bekannt als XDealer, startete eine weltweite Angriffswelle. Der in C++ geschriebene Multi-Plattform-Backdoor ermöglicht es Angreifern, sensible Daten von Zielcomputern zu überwachen und zu stehlen. Nachdem eine Windows-Version dieses RAT (Remote Access Trojan) in Angriffen gegen Regierungseinrichtungen in Guyana eingesetzt wurde, ist nun auch eine Linux Variante im Umlauf, wie die Sicherheitsforscher Kasperky rausfanden.

Im Oktober 2023, kurz nach dem Bekanntwerden der Windows Variante durch ESET, stießen Analysten auf eine Linux-Variante von DinodasRAT. Artefakte deuten darauf hin, dass diese Version (Version 10 laut Angreiferversionierung) möglicherweise schon seit 2022 in Betrieb ist, obwohl die erste bekannte Linux-Variante (Version 7) bislang noch nicht öffentlich beschrieben wurde und auf das Jahr 2021 zurückgeht.

Die Linux-Implantierung von DinodasRAT zielt hauptsächlich auf auf Red Hat basierende Distributionen und Ubuntu Linux ab. Bei der ersten Ausführung erstellt der Schadcode eine versteckte Datei im gleichen Verzeichnis wie die ausführbare Datei, die als Mutex dient, um sicherzustellen, dass der Implant nur in einer Instanz läuft.

Zur Herstellung von Persistenz und zum Start verwendet der Backdoor mehrere Schritte, darunter die Ausführung ohne Argumente im Hintergrund, die Verwendung von SystemV oder SystemD-Startskripten und das erneute Ausführen mit der Prozess-ID des übergeordneten Prozesses.

Vor der Kontaktaufnahme mit dem C2-Server sammelt der Backdoor Informationen über die infizierte Maschine, um eine eindeutige Kennung zu erstellen. Diese UID enthält das Infektionsdatum, einen MD5-Hash des dmidecode-Befehlsoutputs, eine zufällig generierte Nummer und die Backdoor-Version.

Die Linux-Version von DinodasRAT nutzt Systemd und SystemV, um Persistenz auf dem betroffenen System zu etablieren. Die Malware identifiziert das Linux-System und installiert entsprechende Init-Skripte, um die Persistenz des RAT zu gewährleisten.

Die Kommunikation mit dem C2-Server erfolgt ähnlich wie bei der Windows-Version über TCP oder UDP, wobei der Domainname und Port im Binärcode hartkodiert sind. DinodasRAT verwendet ein zeitgesteuertes Intervall, um Informationen an den C2 zurückzusenden, und erkennt eine Reihe von C2-Befehlen, um verschiedene Operationen auf dem infizierten System durchzuführen.

Zusätzlich teilt die Linux-Version von DinodasRAT Verschlüsselungseigenschaften mit der Windows-Version, indem sie Pidgins libqq qq_crypt Bibliotheksfunktionen für die Kommunikationsverschlüsselung verwendet.

Die aktuelle Infrastruktur, die von den Linux-Versionen von DinodasRAT genutzt wird, war zum Zeitpunkt der Analyse aktiv. Bemerkenswert ist, dass dieselbe IP-Adresse sowohl für die Windows- als auch für die Linux-Varianten des C2-Domains aufgelöst wird.

Laut Telemetriedaten sind die am meisten betroffenen Länder und Gebiete China, Taiwan, Türkei und Usbekistan. Für mehr Informationen empfehlen wir den vollständigen Artikel von Kasperky zu lesen.

Related Posts

Nach Malware Flut: PyPi setzt Neuregistrierung aus

Der Python-Packet-Infrastruktur Anbieter PyPi meldete am 28. März 2024, dass die Neuregistrierung von Benutzern und die Erstellung neuer Projekte auf dem Python Package Index (PyPI) vorübergehend ausgesetzt wurden. Diese Maßnahme wurde ergriffen, um eine laufende Malware-Upload-Kampagne zu bekämpfen, die auf einer Technik namens Typosquatting beruht.

Read More

Kripo Kleve nimmt Phising Betrüger fest

Kreis Kleve, 27. März 2024 – Die Kriminalpolizei Kleve hat in Zusammenarbeit mit dem SEK Brandenburg einen 28-jährigen deutschen Staatsbürger festgenommen, der im Verdacht steht, ein bundesweit agierender Phishing Betrüger zu sein. Die Festnahme erfolgte nach intensiven Ermittlungen, die ihren Ursprung in einer Serie von Betrugsfällen nahmen, bei denen Opfer bundesweit durch geschickte Täuschungen erhebliche finanzielle Verluste erlitten.

Read More

Synology Surveillance Stations: sofortige patchen erforderlich

Synology hat am 28.3.24 ein Sicherheitsupdate für Surveillance Station veröffentlicht, um mehrere Schwachstellen zu beheben, die es authentifizierten Remote-Benutzern ermöglichen, auf Intranet-Ressourcen zuzugreifen, Sicherheitsbeschränkungen zu umgehen, Denial-of-Service-Angriffe durchzuführen, SQL-Befehle einzuschleusen, unberechtigt Privilegien zu erlangen, sensible Informationen zu erhalten und bestimmte Dateien zu schreiben. Die betroffenen Produkte sind Surveillance Station für DSM 7.2, 7.1 und 6.2, wobei Nutzer auf die Version 9.2.0-11289 oder höher aktualisieren sollten.

Read More