Nudle RAT
Čínsky mluvící aktéři hrozeb v posledních několika letech využívají ke špionáži a kyberzločinu nový multiplatformní malware s názvem Noodle RAT, který bezpečnostní experti dříve neznali. Původně se myslelo, že jde o variantu Gh0st RAT a Rekoobe, nyní výzkumníci potvrzují, že Noodle RAT není jen modifikací existujícího malwaru, ale zcela novou hrozbou. Funguje pod aliasy jako ANGRYREBEL a Nood RAT a je kompatibilní se systémy Windows i Linux. Předpokládá se, že tento kmen malwaru je aktivní minimálně od července 2016.
Obsah
Útočníci rozmístí varianty Nudle RAT založené na systémech obětí
Edici Windows Noodle RAT, modulární backdoor, který funguje v paměti, využívají hackerské skupiny, jako jsou Iron Tiger a Calypso. Aktivuje se pomocí zavaděče, protože má strukturu založenou na shell kódu. Tento malware je schopen provádět různé příkazy, jako je stahování/nahrávání souborů, spouštění jiných kmenů malwaru, fungovat jako TCP proxy a samo se mazat. Při útocích zaměřených na Thajsko a Indii byly identifikovány dva různé typy nakladačů, konkrétně MULTIDROP a MICROLOAD.
Na druhou stranu, linuxová verze Noodle RAT byla zaměstnána různými skupinami zabývajícími se kyberzločinem a špionáží spojenými s Čínou, jako jsou Rocke a Cloud Snooper. Tato varianta je schopna iniciovat reverzní shell, spravovat přenosy souborů, plánovat úlohy a nastavit tunelování SOCKS. Tyto útoky využívají známé zranitelnosti ve veřejně přístupných aplikacích k infiltraci linuxových serverů a nasazují webový shell pro vzdálený přístup a doručování malwaru.
Podobnosti mezi verzemi Noodle RAT
Navzdory rozdílům v příkazech zadních vrátek obě verze Noodle RAT údajně sdílejí identický komunikační kód Command-and-Control (C2) a používají podobné konfigurační formáty. Další zkoumání artefaktů Noodle RAT ukazuje, že zatímco malware obsahuje různé pluginy používané Gh0st RAT a některé segmenty linuxové verze sdílejí kód podobnosti s Rekoobe, zadní vrátka samotná jsou zcela nová.
Výzkumníci také získali přístup k ovládacímu panelu a staviteli používanému pro linuxovou variantu Noodle RAT. Poznámky k vydání napsané ve zjednodušené čínštině podrobné opravy chyb a vylepšení, což naznačuje, že je pravděpodobně vyvíjen, udržován a prodáván konkrétním zákazníkům.
Toto hodnocení je posíleno úniky informací z počátku roku 2024, které vrhají světlo na významný podnikový hack-for-hire ekosystém fungující z Číny. Tyto úniky podtrhují provozní a organizační propojení mezi subjekty soukromého sektoru a čínskými státem podporovanými kybernetickými aktéry.
Noodle RAT může být využíváno více čínskými skupinami pro počítačovou kriminalitu
Předpokládá se, že hrozivé nástroje pocházejí ze sofistikovaného dodavatelského řetězce v rámci čínské sítě kybernetické špionáže, kde jsou komerčně prodávány a distribuovány jak soukromému sektoru, tak vládním subjektům zapojeným do škodlivých státem sponzorovaných operací. Noodle RAT je pravděpodobně rozšiřován nebo prodáván mezi čínsky mluvícími skupinami. Ostatně byla dlouhodobě špatně zařazena a podceňována.
