אטריות RAT
תוכנה זדונית חדשה חוצת פלטפורמות בשם Noodle RAT, שלא הייתה ידועה בעבר למומחי אבטחה, נוצלה על ידי גורמי איומים דוברי סינית למטרות ריגול ופשעי סייבר במהלך השנים האחרונות. בתחילה נחשבו גרסה של Gh0st RAT ו-Rekoobe, חוקרים מאשרים כעת ש-Noodle RAT אינו רק שינוי של תוכנות זדוניות קיימות אלא איום חדש לחלוטין. הוא פועל תחת כינויים כמו ANGRYREBEL ו-Nood RAT והוא תואם למערכות Windows ולינוקס כאחד. זן תוכנות זדוניות זה חשוד כפעיל מאז יולי 2016 לפחות.
תוכן העניינים
תוקפים פורסים את גרסאות ה-Noodle RAT המבוססות על מערכות הקורבנות
מהדורת Windows של Noodle RAT, דלת אחורית מודולרית הפועלת בזיכרון, נוצלה על ידי קבוצות האקרים כמו Iron Tiger ו-Calypso. זה מופעל דרך מטעין בגלל המבנה המבוסס על קוד מעטפת שלו. תוכנה זדונית זו מסוגלת לבצע פקודות שונות כמו הורדה/העלאת קבצים, הפעלת זני תוכנה זדוניות אחרים, לפעול כפרוקסי TCP ומחיקה עצמית. שני סוגי מעמיסים נפרדים, כלומר MULTIDROP ו-MICROLOAD, זוהו בהתקפות המכוונות לתאילנד והודו, בהתאמה.
מהצד השני, גרסת הלינוקס של Noodle RAT הועסקה על ידי קבוצות שונות של פשעי סייבר וריגול הקשורים לסין, כמו Rocke ו-Cloud Snooper. גרסה זו מסוגלת להפעיל מעטפת הפוכה, לנהל העברות קבצים, לתזמן משימות ולהגדיר מנהור SOCKS. התקפות אלו מנצלות נקודות תורפה ידועות ביישומים הנגישים לציבור כדי לחדור לשרתי לינוקס, תוך פריסת מעטפת אינטרנט לגישה מרחוק ואספקת תוכנות זדוניות.
קווי דמיון בין גרסאות Noodle RAT
למרות הבדלים בפקודות הדלת האחורית, שתי הגרסאות של Noodle RAT חולקות קוד תקשורת זהה של Command-and-Control (C2) ומשתמשות בפורמטים דומים של תצורה. בחינה נוספת של חפצי Noodle RAT מגלה שבעוד שהתוכנה הזדונית משלבת תוספים שונים המשמשים את Gh0st RAT, וחלקים מסוימים של גרסת לינוקס חולקים קווי דמיון עם Rekoobe, הדלת האחורית עצמה חדשה לגמרי.
חוקרים קיבלו גם גישה ללוח בקרה ולבנאי המשמשים לגרסת לינוקס של Noodle RAT. הערות שחרור שנכתבו בסינית פשוטה מפרטת תיקוני באגים ושיפורים, המצביעות על כך שסביר להניח שהוא פותח, מתוחזק ונמכר ללקוחות ספציפיים.
הערכה זו מתחזקת על ידי הדלפות מתחילת 2024, השופכות אור על מערכת אקולוגית של פריצה ארגונית משמעותית הפועלת מסין. הדלפות אלו מדגישות את הקשרים התפעוליים והארגוניים בין גופים במגזר הפרטי לבין גורמי סייבר בחסות המדינה הסינית.
ה-Noodle RAT עשוי להיות מנוצל על ידי קבוצות פשעי סייבר סיניות מרובות
הכלים המאיימים נחשבים כנובעים משרשרת אספקה מתוחכמת בתוך רשת ריגול הסייבר של סין, שם הם נמכרים ומופצים באופן מסחרי הן למגזר הפרטי והן לגופים ממשלתיים המעורבים בפעולות זדוניות בחסות המדינה. סביר להניח שה-Noodle RAT מופץ או נמכר בקרב קבוצות דוברות סינית. אחרי הכל, זה סיווג שגוי והוזלת הערכה במשך תקופה ממושכת.
