국수쥐
이전에 보안 전문가에게 알려지지 않았던 Noodle RAT라는 새로운 크로스 플랫폼 악성 코드가 지난 몇 년 동안 중국어를 사용하는 위협 행위자들에 의해 간첩 활동 및 사이버 범죄 목적으로 활용되었습니다. 처음에는 Gh0st RAT 및 Rekoobe의 변종으로 생각되었지만, 이제 연구원들은 Noodle RAT가 기존 악성 코드의 단순한 변형이 아니라 완전히 새로운 위협임을 확인했습니다. ANGRYREBEL 및 Nood RAT와 같은 별칭으로 작동하며 Windows 및 Linux 시스템과 모두 호환됩니다. 이 악성 코드 변종은 적어도 2016년 7월부터 활동한 것으로 의심됩니다.
목차
공격자들은 피해자 시스템을 기반으로 Noodle RAT 변종을 배포합니다.
메모리 내에서 작동하는 모듈식 백도어인 Noodle RAT의 Windows 버전은 Iron Tiger 및 Calypso와 같은 해커 그룹에 의해 활용되었습니다. 쉘코드 기반 구조로 인해 로더를 통해 활성화됩니다. 이 악성코드는 파일 다운로드/업로드, 다른 악성코드 변종 실행, TCP 프록시 역할, 자체 삭제 등 다양한 명령을 실행할 수 있습니다. MULTIDROP과 MICROLOAD라는 두 가지 로더 유형이 각각 태국과 인도를 표적으로 삼은 공격에서 확인되었습니다.
반면에 Noodle RAT의 Linux 버전은 Rocke 및 Cloud Snooper와 같은 중국과 관련된 다양한 사이버 범죄 및 간첩 그룹에서 사용되었습니다. 이 변종은 리버스 셸을 시작하고, 파일 전송을 관리하고, 작업을 예약하고, SOCKS 터널링을 설정할 수 있습니다. 이러한 공격은 공개적으로 액세스 가능한 애플리케이션의 알려진 취약점을 악용하여 Linux 서버에 침투하고 원격 액세스 및 악성 코드 전달을 위해 웹 셸을 배포합니다.
Noodle RAT 버전 간의 유사점
백도어 명령의 차이에도 불구하고 Noodle RAT의 두 버전 모두 동일한 C2(명령 및 제어) 통신 코드를 공유하고 유사한 구성 형식을 사용하는 것으로 알려졌습니다. Noodle RAT 아티팩트를 추가로 조사한 결과 악성 코드에는 Gh0st RAT에서 사용하는 다양한 플러그인이 포함되어 있고 Linux 버전의 일부 세그먼트는 Rekoobe와 코드 유사성을 공유하지만 백도어 자체는 완전히 새로운 것으로 나타났습니다.
연구원들은 또한 Noodle RAT의 Linux 변형에 사용되는 제어판과 빌더에 액세스할 수 있게 되었습니다. 중국어 간체로 작성된 릴리스 노트에는 버그 수정 및 개선 사항이 자세히 설명되어 있으며 특정 고객에게 개발, 유지 관리 및 판매될 가능성이 있음을 나타냅니다.
이 평가는 2024년 초의 유출로 강화되어 중국에서 운영되는 실질적인 기업 해킹 생태계를 조명합니다. 이러한 유출은 민간 부문 기업과 중국 정부가 후원하는 사이버 행위자 간의 운영 및 조직적 연결을 강조합니다.
Noodle RAT는 여러 중국 사이버 범죄 그룹에 의해 악용될 수 있습니다.
위협적인 도구는 중국 사이버 스파이 네트워크 내의 정교한 공급망에서 유래한 것으로 생각됩니다. 여기서 이러한 도구는 악의적인 국가 지원 활동에 관여하는 민간 부문과 정부 기관 모두에게 상업적으로 판매 및 배포됩니다. Noodle RAT은 중국어권 그룹을 중심으로 유통되거나 판매될 가능성이 높습니다. 결국 그것은 오랜 기간 동안 잘못 분류되고 과소평가되어 왔습니다.
