Eine vom Kasperky Threat Intelligence Team entdeckte Linux-Version von DinodasRAT, einem Remote Access Trojaner, auch bekannt als XDealer, startete eine weltweite Angriffswelle. Der in C++ geschriebene Multi-Plattform-Backdoor ermöglicht es Angreifern, sensible Daten von Zielcomputern zu überwachen und zu stehlen. Nachdem eine Windows-Version dieses RAT (Remote Access Trojan) in Angriffen gegen Regierungseinrichtungen in Guyana eingesetzt wurde, ist nun auch eine Linux Variante im Umlauf, wie die Sicherheitsforscher Kasperky rausfanden.
Im Oktober 2023, kurz nach dem Bekanntwerden der Windows Variante durch ESET, stießen Analysten auf eine Linux-Variante von DinodasRAT. Artefakte deuten darauf hin, dass diese Version (Version 10 laut Angreiferversionierung) möglicherweise schon seit 2022 in Betrieb ist, obwohl die erste bekannte Linux-Variante (Version 7) bislang noch nicht öffentlich beschrieben wurde und auf das Jahr 2021 zurückgeht.
Die Linux-Implantierung von DinodasRAT zielt hauptsächlich auf auf Red Hat basierende Distributionen und Ubuntu Linux ab. Bei der ersten Ausführung erstellt der Schadcode eine versteckte Datei im gleichen Verzeichnis wie die ausführbare Datei, die als Mutex dient, um sicherzustellen, dass der Implant nur in einer Instanz läuft.
Zur Herstellung von Persistenz und zum Start verwendet der Backdoor mehrere Schritte, darunter die Ausführung ohne Argumente im Hintergrund, die Verwendung von SystemV oder SystemD-Startskripten und das erneute Ausführen mit der Prozess-ID des übergeordneten Prozesses.
Vor der Kontaktaufnahme mit dem C2-Server sammelt der Backdoor Informationen über die infizierte Maschine, um eine eindeutige Kennung zu erstellen. Diese UID enthält das Infektionsdatum, einen MD5-Hash des dmidecode-Befehlsoutputs, eine zufällig generierte Nummer und die Backdoor-Version.
Die Linux-Version von DinodasRAT nutzt Systemd und SystemV, um Persistenz auf dem betroffenen System zu etablieren. Die Malware identifiziert das Linux-System und installiert entsprechende Init-Skripte, um die Persistenz des RAT zu gewährleisten.
Die Kommunikation mit dem C2-Server erfolgt ähnlich wie bei der Windows-Version über TCP oder UDP, wobei der Domainname und Port im Binärcode hartkodiert sind. DinodasRAT verwendet ein zeitgesteuertes Intervall, um Informationen an den C2 zurückzusenden, und erkennt eine Reihe von C2-Befehlen, um verschiedene Operationen auf dem infizierten System durchzuführen.
Zusätzlich teilt die Linux-Version von DinodasRAT Verschlüsselungseigenschaften mit der Windows-Version, indem sie Pidgins libqq qq_crypt Bibliotheksfunktionen für die Kommunikationsverschlüsselung verwendet.
Die aktuelle Infrastruktur, die von den Linux-Versionen von DinodasRAT genutzt wird, war zum Zeitpunkt der Analyse aktiv. Bemerkenswert ist, dass dieselbe IP-Adresse sowohl für die Windows- als auch für die Linux-Varianten des C2-Domains aufgelöst wird.
Laut Telemetriedaten sind die am meisten betroffenen Länder und Gebiete China, Taiwan, Türkei und Usbekistan. Für mehr Informationen empfehlen wir den vollständigen Artikel von Kasperky zu lesen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: