Các nhà nghiên cứu bảo mật đã phát hiện nhiều hệ thống chạy Red Hat và Ubuntu bị tấn công bởi phiên bản Linux của DinodasRAT (hay còn được gọi là XDealer). Phiên bản này có khả năng đã hoạt động từ năm 2022.
Mặc dù phiên bản đầu tiên của biến thể này đã xuất hiện từ 2021, vẫn chưa có nhiều thông tin rộng rãi về nó.
Trước đây, công ty an ninh mạng ESET đã từng chứng kiến DinodasRAT tấn công các hệ thống Windows trong chiến dịch gián điệp nhắm vào các cơ quan chính phủ có tên 'Chiến dịch Jacana'. Đầu tháng này, Trend Micro cũng đưa tin về một nhóm APT Trung Quốc có tên 'Earth Krahang', sử dụng XDealer để xâm nhập cả hệ thống Windows và Linux của các chính phủ trên toàn thế giới.
Thông tin chi tiết về DinodasRAT
Trong một báo cáo vào đầu tuần này, các nhà nghiên cứu tại Kaspersky cho biết biến thể Linux của DinodasRAT khi chạy sẽ tạo một tệp ẩn. Tệp này đóng vai trò như một cơ chế ngăn chặn nhiều tiến trình của chính nó cùng chạy trên máy bị nhiễm.
Để duy trì hoạt động lâu dài, mã độc này sử dụng các chương trình chạy khi khởi động của SystemV hoặc SystemD. Nhằm gây khó khăn cho việc phát hiện, nó sẽ tự chạy thêm một lần nữa trong khi tiến trình chính đang đợi.
Hệ thống đã bị tấn công sẽ được đánh dấu bằng các thông tin về việc lây nhiễm, phần cứng và chi tiết hệ thống. Báo cáo này sau đó được gửi về máy chủ điều khiển (C2) để kiểm soát các máy bị nhiễm.
Quá trình liên lạc với máy chủ C2 diễn ra qua TCP hoặc UDP, đồng thời phần mềm độc hại sử dụng thuật toán mã hóa nhỏ (Tiny Encryption Algorithm - TEA) ở chế độ CBC để mã hóa quá trình trao đổi thông tin này.
DinodasRAT được thiết kế với các tính năng nhằm theo dõi, điều khiển và đánh cắp dữ liệu từ các hệ thống bị xâm nhập với các khả năng chính là:
- Theo dõi và thu thập dữ liệu về hoạt động của người dùng, cấu hình hệ thống và các tiến trình đang chạy.
- Nhận lệnh từ C2, bao gồm các tác vụ liên quan đến tệp và thư mục, thực thi lệnh shell và cập nhật của địa chỉ C2.
- Liệt kê, khởi động, dừng và quản lý các tiến trình và dịch vụ trên hệ thống bị nhiễm.
- Cung cấp cho kẻ tấn công một kết nối từ xa (qua remote shell) để chạy trực tiếp lệnh.
- Chuyển tiếp kết nối với C2 thông qua các máy chủ từ xa để ẩn tung tích.
- Tải xuống các phiên bản mới của mã độc, có khả năng tích hợp thêm các cải tiến và tính năng nâng cao.
- Tự gỡ cài đặt và xóa mọi dấu vết hoạt động trước đó khỏi hệ thống.
Các nhà nghiên cứu cho rằng DinodasRAT có thể chiếm toàn quyền kiểm soát các hệ thống bị xâm nhập. Họ lưu ý rằng các kẻ tấn công chủ yếu sử dụng mã độc này để xâm nhập và kiểm soát các mục tiêu thông qua các máy chủ Linux.
Kaspersky cho biết: "Mã độc này có đầy đủ chức năng để cho phép kẻ tấn công kiểm soát hoàn toàn máy bị nhiễm, tạo điều kiện cho việc đánh cắp dữ liệu và hoạt động gián điệp".
Kaspersky không cung cấp chi tiết về phương thức lây nhiễm ban đầu nhưng lưu ý rằng từ tháng 10 năm 2023, mã độc này đã ảnh hưởng đến các nạn nhân ở Trung Quốc, Đài Loan, Thổ Nhĩ Kỳ và Uzbekistan.
Theo Bleeping Computer.
