Nuudli RAT
Uut platvormidevahelist pahavara nimega Noodle RAT, mida turbeekspertid varem ei tundnud, on hiina keelt kõnelevad ohus osalejad viimastel aastatel spionaaži ja küberkuritegevuse eesmärgil kasutanud. Algselt arvati, et see on Gh0st RAT ja Rekoobe variant, kuid nüüd kinnitavad teadlased, et Noodle RAT ei ole lihtsalt olemasoleva pahavara modifikatsioon, vaid täiesti uus oht. See töötab varjunimede all nagu ANGRYREBEL ja Nood RAT ning ühildub nii Windowsi kui ka Linuxi süsteemidega. Arvatakse, et see pahavara tüvi on olnud aktiivne vähemalt 2016. aasta juulist.
Sisukord
Ründajad kasutavad ohvrite süsteemidel põhinevaid Noodle RAT-i variante
Noodle RATi Windowsi väljaannet, modulaarset tagaukse, mis töötab mälus, on kasutanud häkkerirühmad, nagu Iron Tiger ja Calypso. Selle shellkoodipõhise struktuuri tõttu aktiveeritakse see laadija kaudu. See pahavara on võimeline täitma erinevaid käske, nagu failide allalaadimine/üleslaadimine, muude pahavara tüvede käitamine, TCP-puhverserverina toimimine ja isekustutamine. Taile ja Indiale suunatud rünnakutes on tuvastatud kaks erinevat laadimistüüpi, nimelt MULTIDROP ja MICROLOAD.
Teisest küljest on Noodle RAT Linuxi versiooni kasutanud erinevad Hiinaga seotud küberkuritegevuse ja spionaažirühmad, nagu Rocke ja Cloud Snooper. See variant on võimeline käivitama pöördkesta, hallata failiedastusi, ajastada ülesandeid ja seadistada SOCKS-i tunneldamist. Need rünnakud kasutavad Linuxi serveritesse tungimiseks ära avalikult juurdepääsetavate rakenduste teadaolevaid turvaauke, juurutades kaugjuurdepääsuks ja pahavara edastamiseks veebikesta.
Sarnasused nuudli RAT-i versioonide vahel
Vaatamata erinevustele tagaukse käskudes, jagavad Noodle RAT mõlemad versioonid väidetavalt identset Command-and-Control (C2) sidekoodi ja kasutavad sarnaseid konfiguratsioonivorminguid. Noodle RAT-i artefaktide täiendav uurimine näitab, et kuigi pahavara sisaldab erinevaid Gh0st RAT-i kasutatavaid pistikprogramme ja mõned Linuxi versiooni segmendid jagavad koodi sarnasusi Rekoobe'iga, on tagauks ise täiesti uus.
Teadlased on saanud juurdepääsu ka juhtpaneelile ja ehitajale, mida kasutatakse Noodle RATi Linuxi variandi jaoks. Väljalaskemärkmed, mis on kirjutatud lihtsustatud hiina keeles, on üksikasjalikud veaparandused ja täiustused, mis viitavad sellele, et seda tõenäoliselt arendatakse, hooldatakse ja müüakse konkreetsetele klientidele.
Seda hinnangut tugevdavad 2024. aasta alguses toimunud lekked, mis heidavad valgust Hiinast tegutsevale olulisele ettevõtte ökosüsteemile. Need lekked rõhutavad operatiivseid ja organisatsioonilisi sidemeid erasektori üksuste ja Hiina riiklikult toetatud küberosaliste vahel.
Nuudli RAT-i võivad ära kasutada mitmed Hiina küberkuritegevuse rühmad
Arvatakse, et ähvardavad tööriistad pärinevad Hiina küberspionaaživõrgustiku keerukast tarneahelast, kus neid müüakse ja levitatakse nii erasektorile kui ka valitsusasutustele, kes osalevad pahatahtlikes riigi rahastatud operatsioonides. Noodle RAT levitatakse või müüakse tõenäoliselt hiina keelt kõnelevate rühmade seas. Lõppude lõpuks on seda pikka aega valesti klassifitseeritud ja alahinnatud.
