Makaronų RAT
Per pastaruosius kelerius metus kiniškai kalbantys grėsmės veikėjai šnipinėjimo ir elektroninių nusikaltimų tikslais naudojo naują kelių platformų kenkėjišką programą, pavadintą „Noodle RAT“, kuri anksčiau saugumo ekspertams nebuvo žinoma. Iš pradžių manyta, kad tai yra Gh0st RAT ir Rekoobe variantas, dabar mokslininkai patvirtina, kad Noodle RAT yra ne tik esamos kenkėjiškos programos modifikacija, bet ir visiškai nauja grėsmė. Jis veikia slapyvardžiais, tokiais kaip ANGRYREBEL ir Nood RAT, ir yra suderinamas su „Windows“ ir „Linux“ sistemomis. Įtariama, kad ši kenkėjiškų programų atmaina buvo aktyvi mažiausiai 2016 m. liepos mėn.
Turinys
Užpuolikai diegia „Noodle RAT“ variantus, pagrįstus aukų sistemomis
„Noodle RAT“ – modulinių užpakalinių durų, veikiančių atmintyje, „Windows“ leidimą naudojo įsilaužėlių grupės, tokios kaip „Iron Tiger“ ir „Calypso“. Jis suaktyvinamas per įkroviklį dėl savo apvalkalo kodo struktūros. Ši kenkėjiška programa gali vykdyti įvairias komandas, pvz., atsisiųsti / įkelti failus, paleisti kitas kenkėjiškų programų padermes, veikti kaip TCP tarpinis serveris ir savarankiškai ištrinti. Du skirtingi krautuvų tipai, būtent MULTIDROP ir MICROLOAD, buvo nustatyti per atakas, nukreiptas atitinkamai į Tailandą ir Indiją.
Kita vertus, „Noodle RAT“ Linux versiją naudoja įvairios su Kinija susijusios kibernetinių nusikaltimų ir šnipinėjimo grupės, tokios kaip „Rocke“ ir „Cloud Snooper“. Šis variantas gali inicijuoti atvirkštinį apvalkalą, valdyti failų perkėlimą, planuoti užduotis ir nustatyti SOCKS tuneliavimą. Šios atakos išnaudoja žinomus viešai prieinamų programų pažeidžiamumus, kad įsiskverbtų į „Linux“ serverius, diegia žiniatinklio apvalkalą nuotolinei prieigai ir kenkėjiškų programų pristatymui.
Makaronų RAT versijų panašumai
Nepaisant skirtumų tarp užpakalinių durų komandų, pranešama, kad abi Noodle RAT versijos turi identišką komandų ir valdymo (C2) ryšio kodą ir naudoja panašius konfigūracijos formatus. Tolesnis „Noodle RAT“ artefaktų tyrimas atskleidžia, kad nors kenkėjiška programinė įranga apima įvairius „Gh0st RAT“ naudojamus įskiepius, o kai kurie „Linux“ versijos segmentai turi kodo panašumų su „Rekoobe“, pačios užpakalinės durys yra visiškai naujos.
Tyrėjai taip pat gavo prieigą prie valdymo skydelio ir kūrėjo, naudojamo Linux versijai Noodle RAT. Išleidimo pastabos, parašytos supaprastinta kinų kalba, išsamiai pataisyti ir patobulinti klaidų, leidžiančių manyti, kad jis greičiausiai bus sukurtas, prižiūrimas ir parduodamas konkretiems klientams.
Šį vertinimą sustiprina 2024 m. pradžios informacijos nutekėjimas, atskleidžiantis didelę įmonių ekosistemą, veikiančią iš Kinijos. Šie nutekėjimai pabrėžia operatyvinius ir organizacinius ryšius tarp privataus sektoriaus subjektų ir Kinijos valstybės remiamų kibernetinių veikėjų.
„Noodle RAT“ gali išnaudoti kelios Kinijos elektroninių nusikaltimų grupės
Manoma, kad grėsmingi įrankiai kyla iš sudėtingos tiekimo grandinės Kinijos kibernetinio šnipinėjimo tinkle, kur jie komerciniais tikslais parduodami ir platinami privačiam sektoriui ir vyriausybinėms įmonėms, dalyvaujančioms kenkėjiškose valstybės remiamose operacijose. Makaronų RAT greičiausiai platinamas arba parduodamas tarp kiniškai kalbančių grupių. Galų gale, jis ilgą laiką buvo neteisingai įslaptintas ir neįvertintas.
