موش رشته فرنگی

یک بدافزار جدید بین پلتفرمی به نام Noodle RAT که قبلاً برای کارشناسان امنیتی ناشناخته بود، توسط عوامل تهدید چینی زبان برای اهداف جاسوسی و جرایم سایبری در چند سال گذشته مورد استفاده قرار گرفته است. در ابتدا تصور می شد که یک گونه از Gh0st RAT و Rekoobe باشد، محققان اکنون تأیید می کنند که Noodle RAT فقط یک اصلاح بدافزار موجود نیست بلکه یک تهدید کاملاً جدید است. این با نام مستعار مانند ANGRYREBEL و Nood RAT عمل می کند و با هر دو سیستم ویندوز و لینوکس سازگار است. گمان می رود این نوع بدافزار حداقل از جولای 2016 فعال بوده است.

مهاجمان انواع موش نودل را بر اساس سیستم قربانیان به کار می گیرند

نسخه ویندوز Noodle RAT، یک درب پشتی ماژولار که در حافظه کار می کند، توسط گروه های هکری مانند Iron Tiger و Calypso استفاده شده است. به دلیل ساختار مبتنی بر پوسته آن از طریق یک لودر فعال می شود. این بدافزار می‌تواند دستورات مختلفی مانند دانلود/آپلود فایل‌ها، اجرای سایر گونه‌های بدافزار، عمل به عنوان پروکسی TCP و حذف خود را اجرا کند. دو نوع لودر مجزا، یعنی MULTIDROP و MICROLOAD، به ترتیب در حملاتی که تایلند و هند را هدف قرار می دهند، شناسایی شده اند.

از طرف دیگر، نسخه لینوکس Noodle RAT توسط گروه‌های مختلف جرایم سایبری و جاسوسی مرتبط با چین، مانند Rocke و Cloud Snooper استفاده شده است. این نوع قادر به راه‌اندازی پوسته معکوس، مدیریت انتقال فایل، زمان‌بندی وظایف و راه‌اندازی یک تونل SOCKS است. این حملات از آسیب‌پذیری‌های شناخته شده در برنامه‌های کاربردی در دسترس عموم برای نفوذ به سرورهای لینوکس، استفاده از یک پوسته وب برای دسترسی از راه دور و ارسال بدافزار استفاده می‌کنند.

شباهت‌های بین نسخه‌های Noodle RAT

علیرغم تفاوت در دستورات درب پشتی، هر دو نسخه Noodle RAT طبق گزارش‌ها کدهای ارتباطی Command-and-Control (C2) یکسانی را به اشتراک می‌گذارند و از فرمت‌های پیکربندی مشابهی استفاده می‌کنند. بررسی بیشتر مصنوعات Noodle RAT نشان می‌دهد که در حالی که این بدافزار دارای پلاگین‌های مختلفی است که توسط Gh0st RAT استفاده می‌شود و برخی از بخش‌های نسخه لینوکس شباهت‌هایی با کد Rekoobe دارند، خود درب پشتی کاملاً جدید است.

محققان همچنین به کنترل پنل و سازنده ای که برای نوع لینوکس Noodle RAT استفاده می شود دسترسی پیدا کرده اند. یادداشت‌های انتشار نوشته شده در رفع اشکال و بهبودهای جزئیات چینی ساده شده، نشان می‌دهد که احتمالاً توسعه یافته، نگهداری می‌شود و به مشتریان خاصی فروخته می‌شود.

این ارزیابی با نشت اطلاعات از اوایل سال 2024 تقویت شده است و یک اکوسیستم قابل توجه هک برای استخدام شرکتی را که از چین کار می کند روشن می کند. این نشت ها بر ارتباطات عملیاتی و سازمانی بین نهادهای بخش خصوصی و بازیگران سایبری تحت حمایت دولت چین تأکید می کند.

Noodle RAT ممکن است توسط چندین گروه جرایم سایبری چینی مورد سوء استفاده قرار گیرد

تصور می‌شود که ابزارهای تهدیدکننده از یک زنجیره تامین پیچیده در شبکه جاسوسی سایبری چین سرچشمه می‌گیرند، جایی که به صورت تجاری فروخته می‌شوند و به بخش خصوصی و نهادهای دولتی درگیر در عملیات‌های مخرب حمایت‌شده توسط دولت توزیع می‌شوند. Noodle RAT احتمالاً در بین گروه های چینی زبان منتشر یا فروخته می شود. از این گذشته، برای مدت طولانی به اشتباه طبقه بندی شده و دست کم گرفته شده است.