DinodasRAT, la backdoor cross-platform ora colpisce anche i server Linux

Kaspersky ha scoperto una nuova variante della backdoor DinodasRAT per Linux, che compromette in modo significativo le aziende in Cina, Taiwan, Turchia e Uzbekistan almeno da ottobre 2023.

Questa variante consente ai criminali informatici di monitorare e controllare di nascosto i sistemi compromessi, evidenziando che anche la nota sicurezza di Linux non è immune alle minacce.

Scoperta durante le indagini su attività sospette, questa variante condivide codice e indicatori di rete con la versione Windows precedentemente identificata da ESET (Operazione Jacana) e impiegata in attacchi contro enti governativi in ​​Guyana.

La variante per Linux, sviluppata in C++, è stata ideata per infiltrarsi nelle infrastrutture Linux senza essere rilevata, dimostrando le capacità avanzate dei criminali informatici di sfruttare anche i sistemi più sicuri. Al momento dell'infezione, il malware raccoglie informazioni essenziali dal computer host per creare un identificatore unico (UID) senza acquisire dati specifici dell'utente ed evitando così un rilevamento precoce.

Una volta stabilito il contatto con il server C2, l'impianto memorizza tutte le informazioni locali relative all'ID della vittima, al suo livello di privilegi e ad altri dettagli rilevanti in un file nascosto denominato "/etc/.netc.conf".

Questo file di profilo contiene i metadati raccolti dalla backdoor in quel momento. Questo RAT consente ai malintenzionati di sorvegliare e raccogliere dati sensibili dal computer della vittima, nonché di assumerne il pieno controllo. Il malware è programmato per inviare automaticamente i dati rilevati ogni due minuti e 10 ore.

Tutti i prodotti Kaspersky rilevano questa variante di Linux come HEUR:Backdoor.Linux.Dinodas.a.

"A distanza di sei mesi dall'annuncio di ESET relativo alla variante Windows di DinodasRAT, abbiamo scoperto una versione Linux completamente funzionante. Questo sottolinea il fatto che i criminali informatici sviluppano continuamente i loro strumenti per eludere il rilevamento e colpire un maggior numero di vittime. Consigliamo a tutti i professionisti della cybersecurity di scambiarsi informazioni sulle ultime scoperte per garantire la sicurezza informatica delle aziende", ha dichiarato Lisandro Ubiedo, Security Expert di del GReAT (Global Research and Analysis Team) di Kaspersky.

Ulteriori informazioni sulle versioni di DinodasRAT sono disponibili su Securelist.com. Poiché si tratta di un minaccia che mette principalmente nel mirino aziende e settore pubblico, Kaspersky consiglia:

• Audit di sicurezza regolari: eseguire regolarmente controlli e valutazioni di sicurezza per identificare eventuali punti deboli o lacune nella struttura di protezione dell'organizzazione. Affrontare tempestivamente qualsiasi risultato per ridurre i rischi.
• Employee Vigilance: incoraggiare i dipendenti a prestare attenzione e a segnalare immediatamente qualsiasi email, link o attività sospetta al team IT o di sicurezza. Se necessario, fornire canali di comunicazione sicuri per segnalare gli incidenti in forma anonima.
• Utilizzare soluzioni di sicurezza: investire in soluzioni di sicurezza complete che proteggono dalle più recenti minacce alla sicurezza.
• Secure Remote Access: se i dipendenti devono accedere alle risorse aziendali da remoto, è importante assicurarsi che i metodi di accesso, così come le VPN o i protocolli di desktop remoto sicuri, siano configurati e protetti in modo adeguato per evitare accessi non autorizzati.