Nūdeles RAT
Jaunu starpplatformu ļaunprogrammatūru ar nosaukumu Noodle RAT, kas drošības ekspertiem iepriekš nebija zināma, pēdējos gados ir izmantojuši ķīniešu valodā runājošie draudu dalībnieki spiegošanas un kibernoziedzības nolūkos. Sākotnēji tika uzskatīts, ka tas ir Gh0st RAT un Rekoobe variants, taču tagad pētnieki apstiprina, ka Noodle RAT nav tikai esošās ļaunprogrammatūras modifikācija, bet arī pilnīgi jauns drauds. Tas darbojas ar aizstājvārdiem, piemēram, ANGRYREBEL un Nood RAT, un ir saderīgs gan ar Windows, gan Linux sistēmām. Pastāv aizdomas, ka šis ļaunprātīgas programmatūras celms ir bijis aktīvs vismaz kopš 2016. gada jūlija.
Satura rādītājs
Uzbrucēji izvieto Noodle RAT variantus, pamatojoties uz upuru sistēmām
Windows versiju Noodle RAT, modulāras aizmugures durvis, kas darbojas atmiņā, ir izmantojušas tādas hakeru grupas kā Iron Tiger un Calypso. Tas tiek aktivizēts, izmantojot ielādētāju, jo tā struktūra ir balstīta uz čaulas kodu. Šī ļaunprātīgā programmatūra spēj izpildīt dažādas komandas, piemēram, lejupielādēt/augšupielādēt failus, palaist citus ļaunprātīgas programmatūras celmus, darboties kā TCP starpniekserveris un pašizdzēst. Uzbrukumos, kuru mērķis ir attiecīgi Taizeme un Indija, ir identificēti divi atšķirīgi iekrāvēju veidi, proti, MULTIDROP un MICROLOAD.
No otras puses, Noodle RAT Linux versiju ir izmantojušas dažādas ar Ķīnu saistītas kibernoziegumu un spiegošanas grupas, piemēram, Rocke un Cloud Snooper. Šis variants spēj iniciēt reverso apvalku, pārvaldīt failu pārsūtīšanu, ieplānot uzdevumus un iestatīt SOCKS tunelēšanu. Šie uzbrukumi izmanto zināmās ievainojamības publiski pieejamās lietojumprogrammās, lai iefiltrētos Linux serveros, izvietojot tīmekļa čaulu attālai piekļuvei un ļaunprātīgas programmatūras piegādei.
Līdzības starp nūdeles RAT versijām
Neskatoties uz atšķirībām aizmugures durvju komandās, tiek ziņots, ka abām Noodle RAT versijām ir identisks Command-and-Control (C2) sakaru kods un tiek izmantoti līdzīgi konfigurācijas formāti. Turpmāka Noodle RAT artefaktu izpēte atklāj, ka, lai gan ļaunprogrammatūra ietver dažādus spraudņus, ko izmanto Gh0st RAT, un dažiem Linux versijas segmentiem ir kods līdzīgs ar Rekoobe, pašas aizmugures durvis ir pilnīgi jaunas.
Pētnieki ir arī ieguvuši piekļuvi vadības panelim un veidotājam, kas tiek izmantots Noodle RAT Linux variantam. Izlaiduma piezīmes, kas rakstītas vienkāršotajā ķīniešu valodā, detalizēti kļūdu labojumi un uzlabojumi liecina, ka tas, iespējams, ir izstrādāts, uzturēts un pārdots konkrētiem klientiem.
Šo novērtējumu pastiprina noplūdes no 2024. gada sākuma, atklājot ievērojamu korporatīvo ekosistēmu, kas darbojas no Ķīnas. Šīs noplūdes uzsver operatīvās un organizatoriskās saiknes starp privātā sektora struktūrām un Ķīnas valsts sponsorētajiem kiberaktoriem.
Noodle RAT var izmantot vairākas Ķīnas kibernoziedzības grupas
Tiek uzskatīts, ka draudīgos rīkus rada sarežģīta piegādes ķēde Ķīnas kiberspiegošanas tīklā, kur tie tiek komerciāli pārdoti un izplatīti gan privātajam sektoram, gan valsts iestādēm, kas iesaistītas ļaunprātīgās valsts sponsorētās darbībās. Noodle RAT, visticamāk, tiek izplatīts vai pārdots ķīniešu valodā runājošo grupu vidū. Galu galā tas ilgu laiku ir nepareizi klasificēts un novērtēts par zemu.
