नूडल चूहा
नूडल आरएटी नामक एक नया क्रॉस-प्लेटफ़ॉर्म मैलवेयर, जो पहले सुरक्षा विशेषज्ञों के लिए अज्ञात था, पिछले कुछ वर्षों में जासूसी और साइबर अपराध के उद्देश्यों के लिए चीनी भाषी ख़तरनाक अभिनेताओं द्वारा उपयोग किया गया है। शुरू में इसे घोस्ट आरएटी और रेकूबे का एक प्रकार माना जाता था, लेकिन अब शोधकर्ताओं ने पुष्टि की है कि नूडल आरएटी मौजूदा मैलवेयर का सिर्फ़ एक संशोधन नहीं है, बल्कि एक बिल्कुल नया ख़तरा है। यह ANGRYREBEL और Nood RAT जैसे उपनामों के तहत काम करता है और विंडोज और लिनक्स दोनों सिस्टम के साथ संगत है। इस मैलवेयर स्ट्रेन के कम से कम जुलाई 2016 से सक्रिय होने का संदेह है।
विषयसूची
हमलावर पीड़ितों के सिस्टम के आधार पर नूडल RAT वेरिएंट तैनात करते हैं
नूडल आरएटी का विंडोज संस्करण, एक मॉड्यूलर बैकडोर जो इन-मेमोरी संचालित करता है, का उपयोग आयरन टाइगर और कैलीप्सो जैसे हैकर समूहों द्वारा किया गया है। यह अपने शेलकोड-आधारित ढांचे के कारण लोडर के माध्यम से सक्रिय होता है। यह मैलवेयर विभिन्न कमांड निष्पादित करने में सक्षम है जैसे कि फ़ाइलें डाउनलोड करना/अपलोड करना, अन्य मैलवेयर स्ट्रेन चलाना, TCP प्रॉक्सी के रूप में कार्य करना और स्वयं को हटाना। थाईलैंड और भारत को लक्षित करने वाले हमलों में क्रमशः दो अलग-अलग लोडर प्रकार, अर्थात् मल्टीड्रॉप और माइक्रोलोड की पहचान की गई है।
दूसरी ओर, नूडल आरएटी के लिनक्स संस्करण का उपयोग चीन से जुड़े विभिन्न साइबर अपराध और जासूसी समूहों द्वारा किया गया है, जैसे कि रॉक और क्लाउड स्नूपर। यह संस्करण रिवर्स शेल शुरू करने, फ़ाइल ट्रांसफ़र प्रबंधित करने, कार्यों को शेड्यूल करने और SOCKS टनलिंग सेट करने में सक्षम है। ये हमले लिनक्स सर्वर में घुसपैठ करने के लिए सार्वजनिक रूप से सुलभ अनुप्रयोगों में ज्ञात कमजोरियों का फायदा उठाते हैं, रिमोट एक्सेस और मैलवेयर डिलीवरी के लिए वेब शेल तैनात करते हैं।
नूडल रैट संस्करणों के बीच समानताएं
बैकडोर कमांड में अंतर के बावजूद, नूडल आरएटी के दोनों संस्करण कथित तौर पर समान कमांड-एंड-कंट्रोल (सी2) संचार कोड साझा करते हैं और समान कॉन्फ़िगरेशन फ़ॉर्मेट का उपयोग करते हैं। नूडल आरएटी कलाकृतियों की आगे की जांच से पता चलता है कि मैलवेयर में Gh0st RAT द्वारा उपयोग किए जाने वाले विभिन्न प्लगइन शामिल हैं, और लिनक्स संस्करण के कुछ सेगमेंट रेकोबे के साथ कोड समानताएं साझा करते हैं, बैकडोर खुद पूरी तरह से नया है।
शोधकर्ताओं ने नूडल आरएटी के लिनक्स संस्करण के लिए उपयोग किए जाने वाले कंट्रोल पैनल और बिल्डर तक भी पहुँच प्राप्त कर ली है। सरलीकृत चीनी भाषा में लिखे गए रिलीज़ नोट्स में बग फिक्स और सुधारों का विवरण दिया गया है, जिससे पता चलता है कि इसे संभवतः विशिष्ट ग्राहकों के लिए विकसित, रखरखाव और बेचा गया है।
यह आकलन 2024 की शुरुआत में लीक से पुष्ट होता है, जो चीन से संचालित होने वाले एक बड़े कॉर्पोरेट हैक-फॉर-हायर इकोसिस्टम पर प्रकाश डालता है। ये लीक निजी क्षेत्र की संस्थाओं और चीनी राज्य प्रायोजित साइबर अभिनेताओं के बीच परिचालन और संगठनात्मक संबंधों को रेखांकित करते हैं।
नूडल आरएटी का कई चीनी साइबर अपराध समूहों द्वारा शोषण किया जा सकता है
माना जाता है कि ये ख़तरनाक उपकरण चीन के साइबर जासूसी नेटवर्क के भीतर एक परिष्कृत आपूर्ति श्रृंखला से निकले हैं, जहाँ उन्हें व्यावसायिक रूप से बेचा जाता है और दुर्भावनापूर्ण राज्य प्रायोजित संचालन में शामिल निजी क्षेत्र और सरकारी संस्थाओं दोनों को वितरित किया जाता है। नूडल आरएटी संभवतः चीनी भाषी समूहों के बीच प्रसारित या बेचा जाता है। आखिरकार, इसे लंबे समय तक गलत तरीके से वर्गीकृत और कम करके आंका गया है।
