Mã độc DinodasRAT nhắm vào máy chủ Linux trong chiến dịch gián điệp

Các chuyên gia phát hiện các hệ thống Red Hat và Ubuntu bị tấn công bởi phiên bản Linux của DinodasRAT (còn được gọi là XDealer), có thể đã hoạt động từ năm 2022.

Công ty an ninh mạng ESET trước đây đã phát hiện DinodasRAT xâm nhập các hệ thống Windows trong một chiến dịch gián điệp có tên Jacana, nhắm vào các cơ quan chính phủ.

Trend Micro cũng báo cáo về nhóm APT Trung Quốc có tên là ‘Earth Krahang’ sử dụng XDealer để xâm nhập cả hệ thống Windows và Linux của các chính phủ trên toàn thế giới.

Trong báo cáo đầu tuần này, các nhà nghiên cứu tại Kaspersky cho biết khi được thực thi, biến thể DinodasRAT trên Linux sẽ tạo ra một tệp ẩn trong thư mục chứa tệp nhị phân của nó, tệp này hoạt động như một mutex để ngăn nhiều phiên bản chạy trên thiết bị lây nhiễm. Tiếp theo, mã độc “bám trụ” trên máy tính bằng cách sử dụng tập lệnh khởi động SystemV hoặc SystemD. Để gây tránh bị phát hiện, mã độc sau đó sẽ thực thi một lần nữa trong khi quy trình mẹ đang chờ.

Kaspersky cho biết: “Backdoor có đầy đủ chức năng, cấp cho người vận hành toàn quyền kiểm soát máy bị nhiễm, cho phép lấy cắp dữ liệu và gián điệp”.

Kaspersky không cung cấp thông tin chi tiết về phương thức lây nhiễm ban đầu nhưng lưu ý rằng, kể từ tháng 10/2023, mã độc này ảnh hưởng đến các nạn nhân ở Trung Quốc, Đài Loan, Thổ Nhĩ Kỳ và Uzbekistan.

Nguồn: Bleeping Computer