DinodasRATはC++で開発されたマルチプラットフォーム対応のバックドアで、主に政府機関を標的にしている。このマルウェアは機密データを収集し、Red HatベースのディストリビューションとUbuntu Linuxを主なターゲットとしている。ESETの研究者によってOperation Jacanaとして文書化された。
DinodasRATは感染したマシンの情報と感染時刻を基にユニークな識別子を生成し、隠しファイルに保存する。SystemdとSystemVを利用して感染システムで永続性を確立する。
通信面では、C2サーバーとTCPまたはUDPを介して通信し、Tiny Encryption Algorithm (TEA)を使用して通信とデータを暗号化する。特定の間隔で情報をC2に送信し、ユーザーの特権レベルによって待機時間が異なる。
DinodasRATのインフラストラクチャはWindowsとLinuxバージョンで同じIPアドレスを使用し、感染者は中国、台湾、トルコ、ウズベキスタンなどに多い。このバックドアはLinuxサーバーへのアクセス維持、データ盗聴、スパイ活動に利用される。Kasperskyの製品ではHEUR:Backdoor.Linux.Dinodas.aとして検出される。
DinodasRATはAPT攻撃、IoT、モバイル脅威、金融脅威など多岐にわたるカテゴリに分類され、LinuxとWindowsバージョンで同じ暗号化特性を共有している。インフラストラクチャはupdate.centos-yum[.]comドメインと199.231.211[.]19のIPアドレスを使用している。
【ニュース解説】
DinodasRATは、C++で開発されたマルチプラットフォーム対応のバックドアマルウェアであり、特に政府機関を含む様々な組織を標的にしています。このマルウェアは、感染したコンピュータから機密データを収集し、監視する能力を持っています。元々はWindows向けに開発されていましたが、最近になってLinuxシステムを狙った新たなバージョンが発見されました。このLinux版は、特にRed HatベースのディストリビューションとUbuntu Linuxをターゲットにしています。
DinodasRATは、感染したマシンに関する情報を収集し、それを基にユニークな識別子(UID)を生成します。このプロセスには、ユーザー固有の情報は使用されず、主にハードウェア関連の情報が利用されます。このUIDは、マルウェアが感染したシステムを識別し、管理するために使用されます。また、マルウェアはSystemdやSystemVといったLinuxのサービスマネージャーを利用して、感染したシステム上での永続性を確立します。これにより、システムが再起動してもマルウェアが自動的に実行されるようになります。
通信面では、DinodasRATはC2(コマンド&コントロール)サーバーとTCPまたはUDPを介して通信します。この通信にはTiny Encryption Algorithm (TEA)が使用され、データの暗号化と復号化が行われます。これにより、マルウェアの通信内容が外部から簡単に読み取られることが防がれます。また、マルウェアは特定の間隔でC2サーバーに情報を送信し、感染したシステムからデータを盗み出すことが可能です。
このマルウェアのインフラストラクチャは、WindowsとLinuxバージョンで同じIPアドレスを使用しており、特に中国、台湾、トルコ、ウズベキスタンが主な被害地域として挙げられています。DinodasRATは、Linuxサーバーへのアクセス維持、データの盗聴、スパイ活動に利用されることが示されています。
このマルウェアの発見は、LinuxシステムもWindowsと同様に高度なマルウェアの標的になり得ることを示しています。Linuxはサーバー用途で広く使用されているため、このようなマルウェアの感染は重大なセキュリティリスクをもたらす可能性があります。組織は、システムのセキュリティ対策を強化し、不審な活動を監視することが重要です。また、この事例は、マルウェア対策ソフトウェアがLinuxシステムを保護する上での重要性を再確認させるものです。
from DinodasRAT Linux implant targeting entities worldwide.
