DinodasRAT, la backdoor cross-platform ora colpisce anche i server Linux

DinodasRAT, la backdoor cross-platform ora colpisce anche i server Linux

DinodasRAT, nota anche come XDealer, è una backdoor multipiattaforma scritta in C++ che ha già fatto danni nella versione Windows. I ricercatori di Kaspersky hanno identificato la versione Linux e ne hanno parlato in un post.

di pubblicata il , alle 13:01 nel canale Sicurezza
LinuxKaspersky
 

Kaspersky ha scoperto una nuova variante della backdoor DinodasRAT per Linux, che compromette in modo significativo le aziende in Cina, Taiwan, Turchia e Uzbekistan almeno da ottobre 2023.

Questa variante consente ai criminali informatici di monitorare e controllare di nascosto i sistemi compromessi, evidenziando che anche la nota sicurezza di Linux non è immune alle minacce.

Scoperta durante le indagini su attività sospette, questa variante condivide codice e indicatori di rete con la versione Windows precedentemente identificata da ESET (Operazione Jacana) e impiegata in attacchi contro enti governativi in ​​Guyana.

La variante per Linux, sviluppata in C++, è stata ideata per infiltrarsi nelle infrastrutture Linux senza essere rilevata, dimostrando le capacità avanzate dei criminali informatici di sfruttare anche i sistemi più sicuri. Al momento dell'infezione, il malware raccoglie informazioni essenziali dal computer host per creare un identificatore unico (UID) senza acquisire dati specifici dell'utente ed evitando così un rilevamento precoce.

Una volta stabilito il contatto con il server C2, l'impianto memorizza tutte le informazioni locali relative all'ID della vittima, al suo livello di privilegi e ad altri dettagli rilevanti in un file nascosto denominato "/etc/.netc.conf".

Questo file di profilo contiene i metadati raccolti dalla backdoor in quel momento. Questo RAT consente ai malintenzionati di sorvegliare e raccogliere dati sensibili dal computer della vittima, nonché di assumerne il pieno controllo. Il malware è programmato per inviare automaticamente i dati rilevati ogni due minuti e 10 ore.

Tutti i prodotti Kaspersky rilevano questa variante di Linux come HEUR:Backdoor.Linux.Dinodas.a.

"A distanza di sei mesi dall'annuncio di ESET relativo alla variante Windows di DinodasRAT, abbiamo scoperto una versione Linux completamente funzionante. Questo sottolinea il fatto che i criminali informatici sviluppano continuamente i loro strumenti per eludere il rilevamento e colpire un maggior numero di vittime. Consigliamo a tutti i professionisti della cybersecurity di scambiarsi informazioni sulle ultime scoperte per garantire la sicurezza informatica delle aziende", ha dichiarato Lisandro Ubiedo, Security Expert di del GReAT (Global Research and Analysis Team) di Kaspersky.

Ulteriori informazioni sulle versioni di DinodasRAT sono disponibili su Securelist.com. Poiché si tratta di un minaccia che mette principalmente nel mirino aziende e settore pubblico, Kaspersky consiglia:

  • Audit di sicurezza regolari: eseguire regolarmente controlli e valutazioni di sicurezza per identificare eventuali punti deboli o lacune nella struttura di protezione dell'organizzazione. Affrontare tempestivamente qualsiasi risultato per ridurre i rischi.
  • Employee Vigilance: incoraggiare i dipendenti a prestare attenzione e a segnalare immediatamente qualsiasi email, link o attività sospetta al team IT o di sicurezza. Se necessario, fornire canali di comunicazione sicuri per segnalare gli incidenti in forma anonima.
  • Utilizzare soluzioni di sicurezza: investire in soluzioni di sicurezza complete che proteggono dalle più recenti minacce alla sicurezza.
  • Secure Remote Access: se i dipendenti devono accedere alle risorse aziendali da remoto, è importante assicurarsi che i metodi di accesso, così come le VPN o i protocolli di desktop remoto sicuri, siano configurati e protetti in modo adeguato per evitare accessi non autorizzati.
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan04 Aprile 2024, 14:30 #1
Virus Cina => mandanti USA, UK.
UtenteHD04 Aprile 2024, 14:47 #2
Ma se uno dovesse avere una backdoor che crea connessione, se si usa il comando:
ss -aput
viene evidenziato una connessione strana/diversa dalle altre o e' invisibile anche li?
Se fosse invisibile, come accorgersene? Penso (se possibile) perche' e' sempre meglio sapere che no, come fare. Grazie.

Seconda cosa, avere programmi tipo Clamav che unico funzionante, ma lentissimo da paura nello scan, serve a qualcosa o si fa prima coi tools di analisi ed usa di brutto il cervello per cercare tu?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^