Güvenlik araştırmacıları, Red Hat ve Ubuntu sistemlerinin 2022'den beri faaliyet gösteren Dinodasrat'ın (Xdealer olarak da bilinir) Linux versiyonu tarafından saldırıya uğradığını gözlemlediler.
İlk sürüm 2021'e kadar izlenmesine rağmen, kötü amaçlı yazılımların Linux varyantı herkese açık olarak açıklanmamıştır.
Siber güvenlik şirketi ESET daha önce Dinodasrat'ın Windows Systems'i “Jacana Operasyonu” olarak adlandırılan bir casusluk kampanyasında, hükümet kuruluşlarını hedefleyen bir casusluk kampanyasında gördü.
Bu ayın başlarında, Trend Micro, dünya çapında hem pencereleri hem de Linux hükümet sistemlerini ihlal etmek için XDealer'ı kullanan 'Dünya Krahang' olarak izledikleri bir Çinli bir grubu bildirdi.
Bu haftanın başlarında bir raporda, Kaspersky'deki araştırmacılar, yürütüldüğünde, Dinodasrat'ın Linux varyantının, ikili bulunduğu dizinde, enfekte cihazda birden fazla örneğin çalışmasını önlemek için bir muteks görevi gören gizli bir dosya oluşturduğunu söylüyor.
Ardından, kötü amaçlı yazılım, SystemV veya SystemD başlatma komut dosyalarını kullanarak bilgisayarda kalıcılık ayarlar. Tespiti karmaşıklaştırmak için, ana işlem beklerken kötü amaçlı yazılım bir kez daha yürütülür.
Enfekte makine enfeksiyon, donanım ve sistem detayları kullanılarak etiketlenir ve rapor kurban ana bilgisayarlarını yönetmek için Komut ve Kontrol (C2) sunucusuna gönderilir.
C2 sunucusu ile iletişim TCP veya UDP aracılığıyla gerçekleşirken, kötü amaçlı yazılım CBC modunda küçük şifreleme algoritmasını (TEA) kullanır ve güvenli veri alışverişini sağlar.
DinodasRat, ödün verilen sistemlerden verileri izlemek, kontrol etmek ve doldurmak için tasarlanmış özelliklere sahiptir. Ana özellikleri şunları içerir:
Araştırmacılara göre, Dinodasrat saldırgana tehlikeye atılan sistemler üzerinde tam kontrol sağlıyor. Tehdit oyuncusunun kötü amaçlı yazılımları öncelikle Linux sunucuları aracılığıyla hedefe erişim elde etmek ve sürdürmek için kullandığını belirtiyorlar.
Kaspersky, "Arka kapı tamamen işlevseldir, operatöre enfekte makine üzerinde tam kontrol sağlar, veri açığa çıkma ve casusluk sağlar."
Kaspersky, ilk enfeksiyon yöntemi hakkında ayrıntılar sağlamaz, ancak Ekim 2023'ten bu yana kötü amaçlı yazılımın Çin, Tayvan, Türkiye ve Özbekistan'daki kurbanları etkilediğini not eder.
Mıknatıs Goblin Hacker'ları, özel Linux kötü amaçlı yazılımları bırakmak için 1 günlük kusurlar kullanır
Stealthy GtpDoor Linux kötü amaçlı yazılım hedefleri mobil operatör ağları
Linux için Yeni Bifrost Kötü Yazılım Mimics VMware Alanı Kaçma için
Ubuntu 'komuta bulunmayan' aracı kötü amaçlı yazılım yaymak için istismar edilebilir
Bilgisayar korsanları Darkme kötü amaçlı yazılımları bırakmak için yeni Windows Defender Zero Day kullandı
Kaynak: Bleeping Computer