Makaron SZCZUR
W ciągu ostatnich kilku lat chińskojęzyczne ugrupowania cyberprzestępcze wykorzystywały nowe, wieloplatformowe szkodliwe oprogramowanie o nazwie Noodle RAT, nieznane wcześniej ekspertom ds. bezpieczeństwa, w celach szpiegowskich i cyberprzestępczych. Początkowo uważany za odmianę Gh0st RAT i Rekoobe, badacze potwierdzają teraz, że Noodle RAT to nie tylko modyfikacja istniejącego szkodliwego oprogramowania, ale zupełnie nowe zagrożenie. Działa pod pseudonimami takimi jak ANGRYREBEL i Nood RAT i jest kompatybilny zarówno z systemami Windows, jak i Linux. Podejrzewa się, że ta odmiana szkodliwego oprogramowania była aktywna co najmniej od lipca 2016 r.
Spis treści
Atakujący wykorzystują warianty Noodle RAT w oparciu o systemy ofiar
Wersja dla systemu Windows Noodle RAT, modułowego backdoora działającego w pamięci, była wykorzystywana przez grupy hakerów, takie jak Iron Tiger i Calypso. Jest aktywowany poprzez moduł ładujący ze względu na strukturę opartą na kodzie powłoki. To złośliwe oprogramowanie może wykonywać różne polecenia, takie jak pobieranie/przesyłanie plików, uruchamianie innych odmian złośliwego oprogramowania, działanie jako serwer proxy TCP i samokasowanie. W atakach wymierzonych odpowiednio w Tajlandię i Indie zidentyfikowano dwa różne typy programów ładujących, mianowicie MULTIDROP i MICROLOAD.
Z drugiej strony, wersja Noodle RAT na Linuksa była wykorzystywana przez różne grupy cyberprzestępcze i szpiegowskie powiązane z Chinami, takie jak Rocke i Cloud Snooper. Wariant ten może inicjować powłokę odwrotną, zarządzać transferami plików, planować zadania i konfigurować tunelowanie SOCKS. Ataki te wykorzystują znane luki w publicznie dostępnych aplikacjach w celu infiltracji serwerów Linux, wdrażania powłoki internetowej w celu zdalnego dostępu i dostarczania złośliwego oprogramowania.
Podobieństwa między wersjami Noodle RAT
Pomimo różnic w poleceniach backdoora, według doniesień obie wersje Noodle RAT korzystają z identycznego kodu komunikacyjnego typu Command-and-Control (C2) i korzystają z podobnych formatów konfiguracji. Dalsze badanie artefaktów Noodle RAT ujawnia, że chociaż szkodliwe oprogramowanie zawiera różne wtyczki używane przez Gh0st RAT, a niektóre segmenty wersji dla systemu Linux mają podobny kod do Rekoobe, sam backdoor jest całkowicie nowy.
Badacze uzyskali także dostęp do panelu sterowania i kreatora wykorzystywanego w linuksowym wariancie Noodle RAT. Informacje o wersji napisane w języku chińskim uproszczonym zawierają szczegółowe poprawki i ulepszenia, sugerujące, że jest ona prawdopodobnie rozwijana, utrzymywana i sprzedawana określonym klientom.
Ocenę tę potwierdzają przecieki z początku 2024 r., które rzucają światło na istotny korporacyjny ekosystem usług hakerskich działający z Chin. Wycieki te podkreślają powiązania operacyjne i organizacyjne między podmiotami sektora prywatnego a sponsorowanymi przez chińskie państwo podmiotami cybernetycznymi.
Noodle RAT może być wykorzystywany przez wiele chińskich grup cyberprzestępczych
Uważa się, że groźne narzędzia pochodzą ze złożonego łańcucha dostaw chińskiej sieci cyberszpiegowskiej, gdzie są sprzedawane i dystrybuowane zarówno wśród sektora prywatnego, jak i podmiotów rządowych zaangażowanych w szkodliwe operacje sponsorowane przez państwo. Noodle RAT jest prawdopodobnie rozprowadzany lub sprzedawany wśród grup chińskojęzycznych. W końcu był on błędnie klasyfikowany i niedoceniany przez dłuższy czas.
