最新情資指出,鎖定Linux與Ubuntu系統的DinodasRAT(又名XDealer)惡意程式變種已現蹤,其活躍時間可能追溯至2022年。雖然首見版本可追溯至2021年,但這款Linux變種細節仍非常稀少。
DinodasRAT惡意程式在一波針對政府單位間諜活動「Operation Jacana」,成功入侵Windows系統。趨勢科技也發現一個中國APT組織「Earth Krahang」,利用XDealer攻擊全球政府的Windows與Linux機器。
相關文章:10國外交部、38個政府機構遭駭!中國APT駭客組織鎖定45國116單位攻擊
根據卡巴斯基的最新報告,DinodasRAT的Linux變種在執行時會建立隱藏檔案作為互斥機制,以防止在受感染裝置上同時執行多個程序。惡意程式會透過SystemV或SystemD啟動指令碼,在電腦上設定持續存在機制。為了增加偵測難度,惡意程式會再次執行,而Parent Process則在等待中。受感染裝置的硬體與系統資訊會傳送至C2伺服器,並使用TEA加密演算法與遠端通訊。
DinodasRAT擁有監控、控制和資料盜取能力,攻擊者可收集使用者活動、系統設定和程序資訊,遠端執行任意指令,管理程序及服務,並取得遠端命令環境。它還能代理通訊訊號、更新惡意載具版本以及清除入侵痕跡。
研究人員表示,DinodasRAT賦予攻擊者對受入侵系統完全的控制權。他們指出,威脅行動者主要利用此DinodasRAT來獲取和維持對Linux伺服器的存取權。能進行資料外洩和從事間諜活動。
卡巴斯基並未提供初始感染方式的詳細資料,但指出自2023年10月起,此惡意程式已影響到中國、台灣、土耳其和烏茲別克的受害者。
本文轉載自bleepingcomputer。