Nuudeli RAT
Kiinankieliset uhkatoimijat ovat käyttäneet viime vuosina vakoilu- ja kyberrikollisuustarkoituksiin uutta Noodle RAT -nimistä monialustaista haittaohjelmaa, jota turvallisuusasiantuntijat eivät aiemmin tunteneet. Alun perin Gh0st RAT:n ja Rekooben muunnelmana pidettynä tutkijat vahvistavat nyt, että Noodle RAT ei ole vain muunnelma olemassa olevista haittaohjelmista vaan täysin uusi uhka. Se toimii aliaksilla, kuten ANGRYREBEL ja Nood RAT, ja on yhteensopiva sekä Windows- että Linux-järjestelmien kanssa. Tämän haittaohjelmakannan epäillään olleen aktiivinen ainakin heinäkuusta 2016 lähtien.
Sisällysluettelo
Hyökkääjät ottavat käyttöön Noodle RAT -muunnelmia uhrien järjestelmiin perustuen
Noodle RAT:n, modulaarisen takaoven, joka toimii muistissa, Windows-versiota ovat käyttäneet hakkeriryhmät, kuten Iron Tiger ja Calypso. Se aktivoidaan lataajan kautta shellcode-pohjaisen rakenteensa vuoksi. Tämä haittaohjelma pystyy suorittamaan erilaisia komentoja, kuten tiedostojen lataamista/lähettämistä, muiden haittaohjelmien kantoja, toimimaan TCP-välityspalvelimena ja itsensä poistamiseen. Thaimaahan ja Intiaan kohdistetuissa hyökkäyksissä on tunnistettu kaksi erilaista kuormaustyyppiä, nimittäin MULTIDROP ja MICROLOAD.
Toisaalta Noodle RATin Linux-versiota ovat käyttäneet useat Kiinaan liittyvät tietoverkkorikollisuus- ja vakoiluryhmät, kuten Rocke ja Cloud Snooper. Tämä versio pystyy käynnistämään käänteisen kuoren, hallitsemaan tiedostojen siirtoja, ajoittamaan tehtäviä ja määrittämään SOCKS-tunneloinnin. Nämä hyökkäykset hyödyntävät julkisesti saatavilla olevien sovellusten tunnettuja haavoittuvuuksia soluttautuakseen Linux-palvelimiin, ottamalla käyttöön Web-kuoren etäkäyttöä ja haittaohjelmien toimittamista varten.
Samankaltaisuudet Noodle RAT -versioiden välillä
Huolimatta eroista takaoven komentoissa, molemmilla Noodle RAT -versioilla on kerrottu jakava Command-and-Control (C2) -viestintäkoodi ja ne käyttävät samanlaisia konfigurointimuotoja. Noodle RAT -artefaktien lisätutkimus paljastaa, että vaikka haittaohjelma sisältää useita Gh0st RAT:n käyttämiä laajennuksia ja joillakin Linux-version osilla on samankaltaisia koodia kuin Rekoobe, itse takaovi on täysin uusi.
Tutkijat ovat myös saaneet pääsyn ohjauspaneeliin ja rakentajaan, joita käytetään Noodle RATin Linux-versiossa. Julkaisutiedot, jotka on kirjoitettu yksinkertaistetulla kiinalaisella kielellä, sisältävät virheenkorjauksia ja parannuksia, jotka viittaavat siihen, että sitä todennäköisesti kehitetään, ylläpidetään ja myydään tietyille asiakkaille.
Tätä arviota vahvistavat vuoden 2024 alun vuodot, jotka valaisevat Kiinasta toimivaa merkittävää yritysekosysteemiä. Nämä vuodot korostavat toiminnallisia ja organisatorisia yhteyksiä yksityisen sektorin toimijoiden ja Kiinan valtion tukemien kybertoimijoiden välillä.
Useat kiinalaiset kyberrikollisryhmät voivat hyödyntää Noodle RATia
Uhkavien työkalujen uskotaan johtuvan Kiinan kybervakoiluverkoston kehittyneestä toimitusketjusta, jossa niitä myydään kaupallisesti ja jaetaan sekä yksityiselle sektorille että valtion tahoille, jotka osallistuvat haitallisiin valtion tukemiin toimiin. Noodle RATia todennäköisesti levitetään tai myydään kiinankielisten ryhmien keskuudessa. Loppujen lopuksi se on luokiteltu väärin ja aliarvioitu pitkään.
