Noodle RAT
Ένα νέο κακόβουλο λογισμικό πολλαπλών πλατφορμών με το όνομα Noodle RAT, που προηγουμένως ήταν άγνωστο στους ειδικούς σε θέματα ασφάλειας, έχει χρησιμοποιηθεί από κινεζόφωνους φορείς απειλών για σκοπούς κατασκοπείας και εγκλήματος στον κυβερνοχώρο τα τελευταία χρόνια. Αρχικά θεωρήθηκε ότι είναι μια παραλλαγή των Gh0st RAT και Rekoobe, οι ερευνητές τώρα επιβεβαιώνουν ότι το Noodle RAT δεν είναι απλώς μια τροποποίηση υπάρχοντος κακόβουλου λογισμικού αλλά μια εντελώς νέα απειλή. Λειτουργεί με ψευδώνυμα όπως το ANGRYREBEL και το Nood RAT και είναι συμβατό με συστήματα Windows και Linux. Αυτό το είδος κακόβουλου λογισμικού υποπτεύεται ότι ήταν ενεργό τουλάχιστον από τον Ιούλιο του 2016.
Πίνακας περιεχομένων
Οι επιτιθέμενοι αναπτύσσουν τις παραλλαγές Noodle RAT με βάση τα συστήματα των θυμάτων
Η έκδοση των Windows του Noodle RAT, ενός αρθρωτού backdoor που λειτουργεί στη μνήμη, έχει χρησιμοποιηθεί από ομάδες χάκερ όπως οι Iron Tiger και Calypso. Ενεργοποιείται μέσω ενός φορτωτή λόγω της δομής του που βασίζεται σε κώδικες κελύφους. Αυτό το κακόβουλο λογισμικό είναι σε θέση να εκτελεί διάφορες εντολές όπως λήψη/φόρτωση αρχείων, εκτέλεση άλλων τύπων κακόβουλου λογισμικού, να λειτουργεί ως διακομιστής μεσολάβησης TCP και να αυτοδιαγράφεται. Δύο διαφορετικοί τύποι φορτωτών, δηλαδή MULTIDROP και MICROLOAD, έχουν εντοπιστεί σε επιθέσεις που στοχεύουν την Ταϊλάνδη και την Ινδία, αντίστοιχα.
Από την άλλη πλευρά, η έκδοση Linux του Noodle RAT έχει χρησιμοποιηθεί από διάφορες ομάδες εγκλήματος στον κυβερνοχώρο και κατασκοπείας που σχετίζονται με την Κίνα, όπως οι Rocke και Cloud Snooper. Αυτή η παραλλαγή μπορεί να εκκινήσει ένα αντίστροφο κέλυφος, να διαχειριστεί τις μεταφορές αρχείων, να προγραμματίσει εργασίες και να δημιουργήσει μια σήραγγα SOCKS. Αυτές οι επιθέσεις εκμεταλλεύονται γνωστές ευπάθειες σε δημόσια προσβάσιμες εφαρμογές για να διεισδύσουν σε διακομιστές Linux, αναπτύσσοντας ένα κέλυφος Ιστού για απομακρυσμένη πρόσβαση και παράδοση κακόβουλου λογισμικού.
Ομοιότητες μεταξύ των εκδόσεων Noodle RAT
Παρά τις διαφορές στις εντολές backdoor, και οι δύο εκδόσεις του Noodle RAT φέρονται να μοιράζονται τον ίδιο κώδικα επικοινωνίας Command-and-Control (C2) και χρησιμοποιούν παρόμοιες μορφές διαμόρφωσης. Περαιτέρω εξέταση των τεχνουργημάτων Noodle RAT αποκαλύπτει ότι ενώ το κακόβουλο λογισμικό ενσωματώνει διάφορα πρόσθετα που χρησιμοποιούνται από το Gh0st RAT και ορισμένα τμήματα της έκδοσης Linux μοιράζονται ομοιότητες κώδικα με το Rekoobe, το ίδιο το backdoor είναι εντελώς νέο.
Οι ερευνητές απέκτησαν επίσης πρόσβαση σε έναν πίνακα ελέγχου και ένα πρόγραμμα δημιουργίας που χρησιμοποιείται για την παραλλαγή Linux του Noodle RAT. Σημειώσεις έκδοσης γραμμένες σε Απλοποιημένες κινεζικές επιδιορθώσεις σφαλμάτων και βελτιώσεις λεπτομερειών, υποδηλώνοντας ότι πιθανότατα έχει αναπτυχθεί, συντηρηθεί και πωληθεί σε συγκεκριμένους πελάτες.
Αυτή η αξιολόγηση ενισχύεται από διαρροές από τις αρχές του 2024, ρίχνοντας φως σε ένα σημαντικό εταιρικό οικοσύστημα hack-for-hire που λειτουργεί από την Κίνα. Αυτές οι διαρροές υπογραμμίζουν τις επιχειρησιακές και οργανωτικές συνδέσεις μεταξύ οντοτήτων του ιδιωτικού τομέα και κινεζικών κρατικών φορέων στον κυβερνοχώρο.
Το Noodle RAT μπορεί να γίνει αντικείμενο εκμετάλλευσης από πολλές κινεζικές ομάδες εγκλήματος στον κυβερνοχώρο
Τα απειλητικά εργαλεία πιστεύεται ότι προέρχονται από μια εξελιγμένη αλυσίδα εφοδιασμού εντός του δικτύου κυβερνοκατασκοπείας της Κίνας, όπου πωλούνται εμπορικά και διανέμονται τόσο στον ιδιωτικό τομέα όσο και σε κυβερνητικές οντότητες που εμπλέκονται σε κακόβουλες κρατικές επιχειρήσεις. Το Noodle RAT είναι πιθανό να κυκλοφορεί ή να πωλείται μεταξύ κινεζόφωνων ομάδων. Άλλωστε, έχει λανθασμένα ταξινομηθεί και υποτιμηθεί για μεγάλο χρονικό διάστημα.
