Linux_tux-1

Des chercheurs en sécurité ont observé que les systèmes Red Hat et Ubuntu étaient attaqués par une version Linux du DinodasRAT (également connu sous le nom de XDealer) qui fonctionnait peut-être depuis 2022.

La variante Linux du malware n’a pas été décrite publiquement, bien que la première version ait été suivie jusqu’en 2021.

La société de cybersécurité ESET a déjà vu DinodasRAT compromettre les systèmes Windows dans une campagne d’espionnage baptisée « Opération Jacana », qui visait des entités gouvernementales.

Plus tôt ce mois-ci, Trend Micro a fait état d’un groupe d’APT chinois qu’ils suivent sous le nom de « Earth Krahang », qui a utilisé XDealer pour pirater les systèmes Windows et Linux des gouvernements du monde entier.

Détails de DinodasRAT
Dans un rapport publié plus tôt cette semaine, des chercheurs de Kaspersky ont déclaré qu’une fois exécutée, la variante Linux de DinodasRAT crée un fichier caché dans le répertoire où réside son binaire, qui agit comme un mutex pour empêcher l’exécution de plusieurs instances sur l’appareil infecté.

Ensuite, le logiciel malveillant définit la persistance sur l’ordinateur à l’aide des scripts de démarrage SystemV ou SystemD. Pour compliquer la détection, le malware s’exécute ensuite une fois de plus pendant que le processus parent attend.

La logique d’exécution des logiciels malveillants

La machine infectée est étiquetée à l’aide des détails de l’infection, du matériel et du système et le rapport est envoyé au serveur de commande et de contrôle (C2) pour gérer les hôtes victimes.

Création de l’identifiant unique de la victime

La communication avec le serveur C2 se fait via TCP ou UDP, tandis que le logiciel malveillant utilise l’algorithme de cryptage minuscule (TEA) en mode CBC, garantissant un échange de données sécurisé.

Structure de paquets réseau Dinodas

DinodasRAT dispose de capacités conçues pour surveiller, contrôler et exfiltrer les données des systèmes compromis. Ses principales caractéristiques comprennent:

  • Surveillez et collectez des données sur les activités des utilisateurs, les configurations du système et les processus en cours.
  • Recevez des commandes à exécuter à partir du C2, y compris les actions sur les fichiers et les répertoires, l’exécution des commandes shell et la mise à jour de l’adresse C2.
  • Énumérer, démarrer, arrêter et gérer les processus et les services sur le système infecté.
  • Offrez aux attaquants un shell distant pour l’exécution directe de commandes ou de fichiers dans des menaces distinctes.
  • Communications proxy C2 via des serveurs distants.
  • Téléchargez de nouvelles versions du logiciel malveillant qui intègrent potentiellement des améliorations et des fonctionnalités supplémentaires.
  • Désinstallez-vous et effacez toutes les traces de son activité précédente du système.

Selon les chercheurs, DinodasRAT donne à l’attaquant un contrôle total sur les systèmes compromis. Ils notent que l’auteur de la menace utilise le logiciel malveillant principalement pour obtenir et maintenir l’accès à la cible via des serveurs Linux.

« La porte dérobée est entièrement fonctionnelle, accordant à l’opérateur un contrôle total sur la machine infectée, permettant l’exfiltration et l’espionnage des données », explique Kaspersky.

Kaspersky ne fournit pas de détails sur la méthode d’infection initiale, mais note que depuis octobre 2023, le malware affecte les victimes en Chine, à Taiwan, en Turquie et en Ouzbékistan.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *