ŠTAKOR s rezancima
Novi zlonamjerni softver za više platformi pod nazivom Noodle RAT, dosad nepoznat sigurnosnim stručnjacima, koristili su akteri prijetnji koji govore kineski u svrhe špijunaže i kibernetičkog kriminala tijekom proteklih nekoliko godina. Za koji se u početku mislilo da je varijanta Gh0st RAT- a i Rekoobea, istraživači sada potvrđuju da Noodle RAT nije samo modifikacija postojećeg zlonamjernog softvera, već potpuno nova prijetnja. Djeluje pod aliasima kao što su ANGRYREBEL i Nood RAT i kompatibilan je s Windows i Linux sustavima. Sumnja se da je ovaj soj zlonamjernog softvera aktivan najmanje od srpnja 2016.
Sadržaj
Napadači koriste varijante Noodle RAT-a na temelju sustava žrtava
Windows izdanje Noodle RAT-a, modularnog backdoora koji radi u memoriji, koristile su hakerske skupine kao što su Iron Tiger i Calypso. Aktivira se putem učitavača zbog strukture temeljene na shellcodeu. Ovaj zlonamjerni softver može izvršavati razne naredbe kao što su preuzimanje/učitavanje datoteka, pokretanje drugih vrsta zlonamjernog softvera, djelovanje kao TCP proxy i samobrisanje. Dvije različite vrste punjača, naime MULTIDROP i MICROLOAD, identificirane su u napadima usmjerenim na Tajland i Indiju.
S druge strane, Linux verziju Noodle RAT-a koristile su različite kibernetičke kriminalne i špijunske skupine povezane s Kinom, kao što su Rocke i Cloud Snooper. Ova varijanta može pokrenuti obrnutu ljusku, upravljati prijenosima datoteka, rasporediti zadatke i postaviti SOCKS tuneliranje. Ovi napadi iskorištavaju poznate ranjivosti u javno dostupnim aplikacijama za infiltraciju u Linux poslužitelje, postavljajući web ljusku za daljinski pristup i isporuku zlonamjernog softvera.
Sličnosti između verzija Noodle RAT
Unatoč razlikama u backdoor naredbama, obje verzije Noodle RAT-a navodno dijele identičan Command-and-Control (C2) komunikacijski kod i koriste slične konfiguracijske formate. Daljnje ispitivanje artefakata Noodle RAT-a otkriva da, iako zlonamjerni softver uključuje različite dodatke koje koristi Gh0st RAT, a neki segmenti verzije Linuxa dijele sličnosti koda s Rekoobeom, sam backdoor je potpuno nov.
Istraživači su također dobili pristup kontrolnoj ploči i builderu koji se koristi za Linux varijantu Noodle RAT-a. Bilješke o izdanju napisane na pojednostavljenom kineskom detaljno opisuju ispravke programskih pogrešaka i poboljšanja, sugerirajući da je vjerojatno razvijen, održavan i prodan određenim kupcima.
Ovu procjenu potkrepljuju curenja informacija s početka 2024., koja rasvjetljavaju značajan korporativni ekosustav hakiranja za unajmljivanje koji djeluje iz Kine. Ova curenja naglašavaju operativne i organizacijske veze između subjekata iz privatnog sektora i kibernetičkih aktera koje sponzorira kineska država.
Noodle RAT možda iskorištava više kineskih kibernetičkih skupina
Smatra se da prijeteći alati potječu iz sofisticiranog opskrbnog lanca unutar kineske mreže kibernetičke špijunaže, gdje se komercijalno prodaju i distribuiraju privatnom sektoru i državnim subjektima koji su uključeni u zlonamjerne operacije koje sponzorira država. Noodle RAT vjerojatno kruži ili prodaje među skupinama koje govore kineski. Uostalom, pogrešno je klasificiran i podcijenjen dulje vrijeme.
