DinodasRAT: malware multi-piattaforma che minaccia Linux

da Livio Varriale
0 commenti 2 minuti leggi

DinodasRAT, conosciuto anche come XDealer, è una backdoor multi-piattaforma scritta in C++ che offre una gamma di funzionalità per il controllo remoto e il furto di dati sensibili da computer bersaglio ed è stata analizzata da SecureList di Kaspersky. Originariamente utilizzato in attacchi contro enti governativi in Guyana tramite una versione per Windows, questo RAT ha recentemente rivelato una variante per Linux, scoperta dopo le pubblicazioni di ESET su Operation Jacana.

Caratteristiche e infezione iniziale di DinodasRAT su Linux

image 253
DinodasRAT: malware multi-piattaforma che minaccia Linux 9

DinodasRAT mira principalmente a distribuzioni basate su Red Hat e Ubuntu Linux. Al suo primo esecuzione, crea un file nascosto nella stessa directory dell’eseguibile, che funge da mutex per garantire l’esecuzione di una sola istanza dell’implant. Il malware mantiene la persistenza e si avvia con specifiche tecniche che includono l’esecuzione senza argomenti per operare in background e l’utilizzo di script di avvio SystemV o SystemD per stabilire la persistenza nel sistema infetto.

Generazione dell’ID della vittima e persistenza

Prima di stabilire la comunicazione con il server C2, DinodasRAT raccoglie informazioni sulla macchina infetta e sul momento dell’infezione per creare un identificatore unico. Questo UID include la data dell’infezione, un hash MD5 dell’output del comando dmidecode, un numero generato casualmente come ID e la versione della backdoor. Il malware memorizza queste informazioni locali in un file nascosto, che contiene i metadati raccolti, per mantenere traccia delle vittime infette.

Comunicazione con il Server C2

image 254
DinodasRAT: malware multi-piattaforma che minaccia Linux 10

La versione Linux di DinodasRAT comunica con il server C2 utilizzando protocolli TCP o UDP, con il dominio C2 codificato direttamente nel binario.

Annunci
image 255
DinodasRAT: malware multi-piattaforma che minaccia Linux 11

Il malware dispone di una struttura di pacchetti di rete per inviare informazioni al C2 e riconosce diversi comandi C2 per eseguire azioni come elencare il contenuto di una directory, caricare o scaricare file, modificare l’indirizzo IP del C2, controllare processi e servizi in esecuzione, eseguire comandi shell e altro ancora.

Crittografia e infrastruttura

La versione Linux di DinodasRAT condivide caratteristiche di crittografia con la versione Windows, utilizzando le funzioni della libreria qq_crypt di Pidgin per la cifratura della comunicazione e dei dati. L’infrastruttura utilizzata dalle varianti Linux di DinodasRAT sembra essere attiva, con un indirizzo IP che risolve sia per i domini C2 della versione Windows che per quelli della versione Linux.

Paesi e territori più colpiti

Dall’ottobre 2023, i dati di telemetria e il monitoraggio continuo di questa minaccia hanno mostrato che i paesi e i territori più colpiti sono Cina, Taiwan, Turchia e Uzbekistan. Tutti i prodotti Kaspersky rilevano questa variante Linux come HEUR:Backdoor.Linux.Dinodas.a.

Questo approfondimento su DinodasRAT sottolinea l’importanza di rimanere vigili e di adottare misure di sicurezza appropriate per proteggersi da minacce sofisticate che possono colpire sistemi Linux, spesso considerati meno esposti a rischi rispetto ad altre piattaforme.

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara