Юфка RAT
Нов крос-платформен зловреден софтуер, наречен Noodle RAT, непознат досега на експертите по сигурността, е бил използван от китайскоговорящи заплахи за целите на шпионаж и киберпрестъпления през последните няколко години. Първоначално смятан за вариант на Gh0st RAT и Rekoobe, сега изследователите потвърждават, че Noodle RAT не е просто модификация на съществуващ зловреден софтуер, а изцяло нова заплаха. Той работи под псевдоними като ANGRYREBEL и Nood RAT и е съвместим както с Windows, така и с Linux системи. Предполага се, че този вид зловреден софтуер е активен най-малко от юли 2016 г.
Съдържание
Нападателите внедряват вариантите на Noodle RAT въз основа на системите на жертвите
Изданието за Windows на Noodle RAT, модулна задна врата, която работи в паметта, е използвано от хакерски групи като Iron Tiger и Calypso. Активира се чрез товарач поради структурата си, базирана на shellcode. Този злонамерен софтуер е в състояние да изпълнява различни команди като изтегляне/качване на файлове, стартиране на други видове злонамерен софтуер, действа като TCP прокси и самоизтриване. Два различни типа зареждащи устройства, а именно MULTIDROP и MICROLOAD, са идентифицирани при атаки, насочени съответно към Тайланд и Индия.
От друга страна, Linux версията на Noodle RAT е била използвана от различни групи за киберпрестъпност и шпионаж, свързани с Китай, като Rocke и Cloud Snooper. Този вариант е способен да инициира обратна обвивка, да управлява прехвърлянето на файлове, да планира задачи и да настройва SOCKS тунелиране. Тези атаки експлоатират известни уязвимости в обществено достъпни приложения, за да проникнат в Linux сървъри, внедрявайки уеб обвивка за отдалечен достъп и доставяне на зловреден софтуер.
Прилики между версиите на Noodle RAT
Въпреки разликите в задните команди, и двете версии на Noodle RAT споделят идентичен Command-and-Control (C2) комуникационен код и използват подобни конфигурационни формати. По-нататъшното изследване на артефактите на Noodle RAT разкрива, че макар злонамереният софтуер да включва различни плъгини, използвани от Gh0st RAT, и някои сегменти от версията на Linux споделят прилики в кода с Rekoobe, самата задна вратичка е изцяло нова.
Изследователите също са получили достъп до контролен панел и конструктор, използвани за Linux варианта на Noodle RAT. Бележките към изданието, написани на опростен китайски, описват корекции на грешки и подобрения, което предполага, че вероятно е разработен, поддържан и продаден на конкретни клиенти.
Тази оценка е подсилена от изтичане на информация от началото на 2024 г., което хвърля светлина върху значителна корпоративна екосистема за хакване срещу наемане, работеща от Китай. Тези изтичания подчертават оперативните и организационни връзки между субекти от частния сектор и спонсорирани от китайската държава кибер актьори.
Noodle RAT може да бъде експлоатиран от множество китайски киберпрестъпни групи
Смята се, че заплашващите инструменти произлизат от сложна верига за доставки в китайската мрежа за кибершпионаж, където се продават и разпространяват в търговската мрежа както на частния сектор, така и на правителствени субекти, участващи в злонамерени операции, спонсорирани от държавата. Noodle RAT вероятно се разпространява или продава сред китайски говорещи групи. В края на краищата той е бил погрешно класифициран и подценяван за продължителен период от време.
