Mi TIKUS
Satu perisian hasad merentas platform baharu bernama Noodle RAT, yang sebelum ini tidak diketahui oleh pakar keselamatan, telah digunakan oleh pelakon ancaman berbahasa Cina untuk tujuan pengintipan dan jenayah siber sejak beberapa tahun lalu. Pada mulanya dianggap sebagai varian Gh0st RAT dan Rekoobe, penyelidik kini mengesahkan bahawa Noodle RAT bukan sekadar pengubahsuaian perisian hasad sedia ada tetapi ancaman yang sama sekali baru. Ia beroperasi di bawah alias seperti ANGRYREBEL dan Nood RAT dan serasi dengan kedua-dua sistem Windows dan Linux. Jenis perisian hasad ini disyaki telah aktif sejak sekurang-kurangnya Julai 2016.
Isi kandungan
Penyerang Mengerahkan Varian Tikus Mi Berdasarkan Sistem Mangsa
Edisi Windows Noodle RAT, pintu belakang modular yang beroperasi dalam memori, telah digunakan oleh kumpulan penggodam seperti Iron Tiger dan Calypso. Ia diaktifkan melalui pemuat kerana struktur berasaskan kod shellnya. Perisian hasad ini mampu melaksanakan pelbagai arahan seperti memuat turun/memuat naik fail, menjalankan jenis perisian hasad lain, bertindak sebagai proksi TCP dan memadam sendiri. Dua jenis pemuat yang berbeza, iaitu MULTIDROP dan MICROLOAD, telah dikenal pasti dalam serangan yang menyasarkan Thailand dan India, masing-masing.
Sebaliknya, versi Linux Noodle RAT telah digunakan oleh pelbagai kumpulan jenayah siber dan pengintipan yang dikaitkan dengan China, seperti Rocke dan Cloud Snooper. Varian ini mampu memulakan cangkerang terbalik, mengurus pemindahan fail, menjadualkan tugas dan menyediakan terowong SOCKS. Serangan ini mengeksploitasi kelemahan yang diketahui dalam aplikasi yang boleh diakses secara umum untuk menyusup ke pelayan Linux, menggunakan shell Web untuk akses jauh dan penghantaran perisian hasad.
Persamaan Antara Versi Noodle RAT
Walaupun terdapat perbezaan dalam arahan pintu belakang, kedua-dua versi Noodle RAT dilaporkan berkongsi kod komunikasi Command-and-Control (C2) yang sama dan menggunakan format konfigurasi yang serupa. Pemeriksaan lanjut artifak Noodle RAT mendedahkan bahawa walaupun perisian hasad itu menggabungkan pelbagai pemalam yang digunakan oleh Gh0st RAT, dan beberapa segmen versi Linux berkongsi persamaan kod dengan Rekoobe, pintu belakang itu sendiri adalah baharu sepenuhnya.
Penyelidik juga telah mendapat akses kepada panel kawalan dan pembina yang digunakan untuk varian Linux Noodle RAT. Nota keluaran yang ditulis dalam pembetulan pepijat dan penambahbaikan terperinci Cina Ringkas, mencadangkan ia mungkin dibangunkan, diselenggara dan dijual kepada pelanggan tertentu.
Penilaian ini diperkukuh oleh kebocoran dari awal tahun 2024, memberi penerangan tentang ekosistem hack-for-hire korporat yang besar yang beroperasi dari China. Kebocoran ini menekankan hubungan operasi dan organisasi antara entiti sektor swasta dan aktor siber tajaan kerajaan China.
TIKUS Mi mungkin Dieksploitasi oleh Pelbagai Kumpulan Jenayah Siber Cina
Alat yang mengancam itu dianggap berpunca daripada rantaian bekalan yang canggih dalam rangkaian pengintipan siber China, di mana ia dijual secara komersil dan diedarkan kepada kedua-dua sektor swasta dan entiti kerajaan yang terlibat dalam operasi tajaan kerajaan yang berniat jahat. Noodle RAT berkemungkinan diedarkan atau dijual di kalangan kumpulan berbahasa Cina. Lagipun, ia telah disalahklasifikasikan dan dipandang remeh untuk tempoh yang panjang.
