Noodle RAT
A Noodle RAT névre keresztelt új, platformokon átívelő kártevőt, amelyet a biztonsági szakértők korábban nem ismertek, a kínaiul beszélő fenyegetések szereplői kémkedésre és kiberbűnözésre használtak az elmúlt néhány évben. A kezdetben a Gh0st RAT és a Rekoobe változatának hitt kutatók most megerősítik, hogy a Noodle RAT nem csupán a meglévő rosszindulatú programok módosítása, hanem egy teljesen új fenyegetés. Olyan álnevekkel működik, mint ANGRYREBEL és Nood RAT, és Windows és Linux rendszerekkel is kompatibilis. Ez a rosszindulatú programtörzs a gyanú szerint legalább 2016 júliusa óta aktív.
Tartalomjegyzék
A támadók az áldozatok rendszerei alapján telepítik a Noodle RAT-változatokat
A Noodle RAT, egy moduláris, memóriában működő hátsó ajtó Windows-kiadását olyan hackercsoportok használták, mint az Iron Tiger és a Calypso. A shellkód alapú szerkezete miatt betöltőn keresztül aktiválódik. Ez a rosszindulatú program különféle parancsok végrehajtására képes, például fájlok letöltésére/feltöltésére, más rosszindulatú programtörzsek futtatására, TCP-proxyként való működésre és öntörlésre. A Thaiföldet, illetve Indiát célzó támadások során két különböző rakodótípust azonosítottak, nevezetesen a MULTIDROP-ot és a MICROLOAD-ot.
A másik oldalon a Noodle RAT linuxos verzióját különféle, Kínához köthető kiberbűnözők és kémszervezetek alkalmazták, mint például a Rocke és a Cloud Snooper. Ez a változat képes a fordított shell kezdeményezésére, a fájlátvitel kezelésére, a feladatok ütemezésére és a SOCKS alagút beállítására. Ezek a támadások a nyilvánosan elérhető alkalmazások ismert sebezhetőségeit használják ki, hogy beszivárogjanak a Linux-kiszolgálókra, és webhéjat telepítenek a távoli eléréshez és a rosszindulatú programok kézbesítéséhez.
Hasonlóságok a Noodle RAT verziói között
A hátsó ajtó parancsaiban mutatkozó különbségek ellenére a Noodle RAT mindkét verziója ugyanazt a Command-and-Control (C2) kommunikációs kódot használja, és hasonló konfigurációs formátumokat használ. A Noodle RAT műtermékek további vizsgálata feltárja, hogy bár a rosszindulatú program különböző, a Gh0st RAT által használt bővítményeket tartalmaz, és a Linux-verzió egyes szegmensei hasonlóságot mutatnak a Rekoobe-kóddal, maga a hátsó ajtó teljesen új.
A kutatók hozzáfértek a Noodle RAT linuxos változatához használt vezérlőpulthoz és építőhöz is. Az egyszerűsített kínai nyelven írt kibocsátási megjegyzések részletezik a hibajavításokat és -fejlesztéseket, amelyek arra utalnak, hogy valószínűleg kifejlesztik, karbantartják és bizonyos ügyfeleknek értékesítik.
Ezt az értékelést megerősítik a 2024 eleji kiszivárogtatások, amelyek rávilágítanak a Kínából származó jelentős vállalati ökoszisztémára. Ezek a kiszivárogtatások alátámasztják a magánszektor szereplői és a kínai államilag támogatott kiberszereplők közötti működési és szervezeti kapcsolatokat.
A Noodle RAT-et több kínai kiberbűnözési csoport is kihasználhatja
A fenyegető eszközökről azt feltételezik, hogy a kínai kiberkémkedési hálózaton belüli kifinomult ellátási láncból származnak, ahol kereskedelmi forgalomba kerülnek, és mind a magánszektornak, mind a rosszindulatú, államilag támogatott műveletekben részt vevő kormányzati szerveknek eladják őket. A Noodle RAT-et valószínűleg kínai nyelvű csoportok körében terjesztik vagy értékesítik. Végül is hosszabb ideig rosszul minősítették és alábecsülték.
