الفئران المعكرونة
تم استخدام برنامج ضار جديد عبر الأنظمة الأساسية يسمى Noodle RAT، لم يكن معروفًا من قبل لخبراء الأمن، من قبل الجهات الفاعلة الناطقة باللغة الصينية لأغراض التجسس والجرائم الإلكترونية على مدى السنوات القليلة الماضية. كان يُعتقد في البداية أنه نوع مختلف من Gh0st RAT وRekoobe، ويؤكد الباحثون الآن أن Noodle RAT ليس مجرد تعديل للبرامج الضارة الموجودة ولكنه يمثل تهديدًا جديدًا تمامًا. وهو يعمل تحت أسماء مستعارة مثل ANGRYREBEL وNood RAT وهو متوافق مع أنظمة Windows وLinux. يُشتبه في أن سلالة البرامج الضارة هذه كانت نشطة منذ يوليو 2016 على الأقل.
جدول المحتويات
ينشر المهاجمون متغيرات Noodle RAT بناءً على أنظمة الضحايا
تم استخدام إصدار Windows من Noodle RAT، وهو باب خلفي معياري يعمل في الذاكرة، من قبل مجموعات المتسللين مثل Iron Tiger وCalypso. يتم تنشيطه من خلال أداة تحميل بسبب بنيته المستندة إلى كود القشرة. هذه البرامج الضارة قادرة على تنفيذ أوامر مختلفة مثل تنزيل/تحميل الملفات، وتشغيل سلالات أخرى من البرامج الضارة، والعمل كوكيل TCP، والحذف الذاتي. تم التعرف على نوعين متميزين من أدوات التحميل، وهما MULTIDROP وMICROLOAD، في الهجمات التي استهدفت تايلاند والهند، على التوالي.
على الجانب الآخر، تم استخدام إصدار Linux من Noodle RAT من قبل العديد من مجموعات الجرائم الإلكترونية والتجسس المرتبطة بالصين، مثل Rocke وCloud Snooper. هذا المتغير قادر على بدء الصدفة العكسية، وإدارة عمليات نقل الملفات، وجدولة المهام، وإعداد نفق SOCKS. تستغل هذه الهجمات نقاط الضعف المعروفة في التطبيقات التي يمكن الوصول إليها بشكل عام للتسلل إلى خوادم Linux، ونشر غلاف الويب للوصول عن بعد وتسليم البرامج الضارة.
أوجه التشابه بين إصدارات Noodle RAT
على الرغم من الاختلافات في أوامر الباب الخلفي، يقال إن كلا الإصدارين من Noodle RAT يشتركان في رمز اتصالات القيادة والتحكم (C2) المتطابق ويستخدمان تنسيقات تكوين مماثلة. يكشف المزيد من الفحص لعناصر Noodle RAT أنه على الرغم من أن البرامج الضارة تشتمل على مكونات إضافية مختلفة يستخدمها Gh0st RAT، وبعض أجزاء إصدار Linux تشترك في أوجه التشابه في التعليمات البرمجية مع Rekoobe، إلا أن الباب الخلفي نفسه جديد تمامًا.
تمكن الباحثون أيضًا من الوصول إلى لوحة التحكم والمنشئ المستخدم في إصدار Linux من Noodle RAT. ملاحظات الإصدار مكتوبة باللغة الصينية المبسطة تتضمن تفاصيل إصلاحات الأخطاء والتحسينات، مما يشير إلى أنه من المحتمل تطويرها وصيانتها وبيعها لعملاء محددين.
وقد تم تعزيز هذا التقييم من خلال التسريبات التي حدثت في أوائل عام 2024، والتي سلطت الضوء على نظام بيئي كبير للاختراق مقابل أجر للشركات يعمل من الصين. تؤكد هذه التسريبات على الروابط التشغيلية والتنظيمية بين كيانات القطاع الخاص والجهات الفاعلة السيبرانية التي ترعاها الدولة الصينية.
قد يتم استغلال Noodle RAT من قبل العديد من مجموعات الجرائم الإلكترونية الصينية
ويُعتقد أن أدوات التهديد تنبع من سلسلة توريد متطورة داخل شبكة التجسس الإلكتروني الصينية، حيث يتم بيعها تجاريًا وتوزيعها على كل من القطاع الخاص والكيانات الحكومية المشاركة في العمليات الخبيثة التي ترعاها الدولة. من المحتمل أن يتم تداول Noodle RAT أو بيعه بين المجموعات الناطقة باللغة الصينية. ففي نهاية المطاف، لقد تم تصنيفه بشكل خاطئ والتقليل من شأنه لفترة طويلة.
