DINODASRAT LINUX VARIANT 目标用户全球

卡巴斯基的研究人员发现了一个名为DinodasRAT的多平台后门的Linux版本，该后门被用于针对中国、台湾、土耳其和乌兹别克斯坦的攻击。DinodasRAT（又称XDealer）是用C++编写的，支持一系列广泛的功能，可以监视用户并从目标系统窃取敏感数据。

ESET的研究人员报告称，DinodasRAT的Windows版本曾被用于针对圭亚那政府实体的攻击。ESET于2023年10月首次发现了DinodasRAT的新Linux版本，但专家认为它自2022年以来一直在活动。在2024年3月，趋势科技的研究人员在调查与中国有关的APT Earth Lusca的活动时，揭示了一个由Earth Krahang威胁行为者进行的复杂攻击活动。该活动至少从2022年初开始活跃，主要针对政府组织。

自从2023年以来，Earth Krahang转向另一个后门（由TeamT5命名为XDealer，由ESET命名为DinodasRAT）。与RESHELL相比，XDealer提供了更全面的后门功能。此外，我们发现威胁行为者同时使用了Windows和Linux版本的XDealer来攻击不同的系统。

DinodasRAT Linux植入物主要用于针对基于Red Hat和Ubuntu Linux的发行版的攻击。一旦执行，恶意软件会在与可执行文件相同的目录中创建一个隐藏文件，格式为“.[executable_name].mu”。该恶意软件通过使用SystemV或SystemD启动脚本在主机上建立持久性。后门收集有关被感染机器的信息，并将其发送到C2服务器。DinodasRAT的Linux和Windows版本都通过TCP或UDP与C2通信。C2域已硬编码到二进制文件中。

研究人员注意到，与其他远程访问工具（RAT）不同的是，攻击者不收集任何用户特定数据来生成此UID。该UID通常包括感染日期、dmidecode命令输出的MD5哈希（感染系统硬件的详细报告）、作为ID的随机生成数字以及后门版本。

以下是后门支持的命令列表：

DinodasRAT的Linux版本使用Pidgin的libqq qq_crypt库函数来进行数据的加密和解密。该库使用Tiny Encryption Algorithm (TEA)在CBC模式下对数据进行加密和解密。“他们不收集用户信息来管理感染。相反，会收集硬件特定信息并用于生成UID，这表明DinodasRAT的主要用途是通过Linux服务器获得和维持访问，而不是侦查。” 报告总结道。“后门功能完整，赋予操作者对被感染机器的完全控制，实现数据外泄和间谍活动。”

原文始发于微信公众号（黑猫安全）：DINODASRAT LINUX VARIANT 目标用户全球