Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Çinli Hackerlar DinodasRAT'ı Kullandı
Sayın Mihir (MihirBagwe) •
1 Nisan 2024
Kaspersky araştırmacıları, bilgisayar korsanlarının Linux sunucularını hedef almak ve casusluk kampanyası gibi görünen bu saldırıda erişim elde etmek ve sürdürmek için arka kapının yeni bir sürümünü kullandığı konusunda uyardı.
Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?
Rus siber güvenlik şirketi, telemetri verilerinin DinodasRAT'ın daha önce bilinmeyen bir çeşidinin Çin, Tayvan, Türkiye ve Özbekistan'da aktif olduğunu (muhtemelen 2022 veya muhtemelen 2021'den beri) gösterdiğini söyledi. Kaspersky, XDealer olarak da bilinen uzaktan erişim Truva Atı'nı ilk olarak Ekim ayında tanımladı. Siber güvenlik firması Eset geçen yılın sonlarında aynı RAT'ın Windows versiyonunun Guyana'daki devlet kurumlarına yönelik saldırılarda aktif olduğunu tespit etti (bkz.: Çin Bağlantılı APT Guyana'da Casusluk İçin Yeni Arka Kapı Kullanıyor).
Eset, Guyana kampanyasını Çin çıkarlarıyla uyumlu bir tehdit grubuna orta düzeyde güvenle bağladı. Kaspersky, Linux sunucu varyantını belirli bir tehdit aktörüne atfetmiyor.
Trend Micro, bu ayın başlarında, Earth Krahang olarak takip ettiği Çin bağlantılı bir aktör tarafından DinodasRAT özel arka kapısının kullanıldığını bildirdi; bu muhtemelen Çin devletinin hack yüklenicisi iSoon'un işiydi. Sichuan merkezli özel firmadan sızdırılan belgeler, güvenlik araştırmacılarının, farklı kampanyalarda ortaya çıkan sızma araçları örneklerinin, devlet destekli bilgisayar korsanlarını donatan “dijital malzeme sorumlularının” varlığına işaret ettiği yönündeki teorisini destekliyor.
Kaspersky, DinodasRAT'ın stratejisinin ayırt edici özelliğinin kurban tespiti ve kalıcılık mekanizmaları olduğunu söyledi. Kötü amaçlı yazılım, iki Linux sürümünü (Red Hat ve Ubuntu 16/18) kontrol ediyor, ancak başlatmak için SystemD veya SystemV kullanan herhangi bir dağıtıma da bulaşabiliyor.
DinodasRAT örnekleri “bulaşmaları yönetmek için kullanıcı bilgilerini toplamaz. Bunun yerine, donanıma özgü bilgiler toplanır ve bir UID oluşturmak için kullanılır; bu da DinodasRAT'ın birincil kullanım durumunun keşiften ziyade Linux sunucuları aracılığıyla erişim elde etmek ve sürdürmek olduğunu gösterir.”
Arka kapı, virüs bulaşan her makine için bulaşma tarihine, donanım bilgilerine ve arka kapı sürümüne göre benzersiz bir tanımlayıcı oluşturur. Tanımlayıcıyı, virüslü sistemlerin izlenmesini ve yönetimini kolaylaştıran gizli bir yapılandırma dosyasında saklar.
Gizliliği korumak ve tespitten kaçınmak için DinodasRAT, dosya erişim zaman damgalarını değiştirerek minimum düzeyde izlenebilirlik sağlar ve güvenlik analistlerinin tehdidi tespit etmesini ve azaltmasını zorlaştırır.
Arka kapı, komuta ve kontrol sunucusuyla iletişim kurmak için TCP veya UDP protokollerini kullanır ve bunun için sabit kodlanmış etki alanı adreslerini kullanır: update.centos-yum.com. Windows varyantı farklı bir etki alanı kullanıyor – update.microsoft-settings.com – ancak aynı IP adresine çözümlenir.