ȘObolan cu tăiței
Un nou program malware multiplatform numit Noodle RAT, necunoscut anterior experților în securitate, a fost utilizat de actorii amenințărilor vorbitori de limbă chineză în scopuri de spionaj și criminalitate cibernetică în ultimii câțiva ani. Considerată inițial a fi o variantă a Gh0st RAT și Rekoobe, cercetătorii confirmă acum că Noodle RAT nu este doar o modificare a malware-ului existent, ci o amenințare complet nouă. Funcționează sub aliasuri precum ANGRYREBEL și Nood RAT și este compatibil atât cu sistemele Windows, cât și cu Linux. Această tulpină de malware este suspectată a fi activă cel puțin din iulie 2016.
Cuprins
Atacatorii implementează variantele Noodle RAT pe baza sistemelor victimelor
Ediția Windows a Noodle RAT, o ușă din spate modulară care funcționează în memorie, a fost utilizată de grupuri de hackeri precum Iron Tiger și Calypso. Este activat printr-un încărcător datorită structurii sale bazate pe shellcode. Acest malware este capabil să execute diverse comenzi, cum ar fi descărcarea/încărcarea fișierelor, rularea altor tulpini de malware, acționând ca un proxy TCP și ștergerea automată. Două tipuri distincte de încărcătoare, și anume MULTIDROP și MICRLOAD, au fost identificate în atacurile care vizează Thailanda și, respectiv, India.
Pe de altă parte, versiunea Linux a Noodle RAT a fost folosită de diverse grupuri de criminalitate cibernetică și de spionaj asociate cu China, cum ar fi Rocke și Cloud Snooper. Această variantă este capabilă să inițieze un shell invers, să gestioneze transferurile de fișiere, să programeze sarcini și să configureze un tunel SOCKS. Aceste atacuri exploatează vulnerabilitățile cunoscute în aplicațiile accesibile public pentru a se infiltra în serverele Linux, implementând un shell Web pentru acces de la distanță și livrare de malware.
Asemănări între versiunile Noodle RAT
În ciuda diferențelor în comenzile backdoor, ambele versiuni ale Noodle RAT partajează cod de comunicații de comandă și control (C2) identic și folosesc formate de configurare similare. O examinare ulterioară a artefactelor Noodle RAT dezvăluie că, în timp ce malware-ul încorporează diverse plugin-uri utilizate de Gh0st RAT, iar unele segmente ale versiunii Linux au coduri similare cu Rekoobe, ușa din spate în sine este complet nouă.
Cercetătorii au obținut, de asemenea, acces la un panou de control și un constructor folosit pentru varianta Linux a Noodle RAT. Notele de lansare scrise în chineză simplificată detaliază remedieri de erori și îmbunătățiri, sugerând că este probabil dezvoltat, întreținut și vândut anumitor clienți.
Această evaluare este întărită de scurgeri de informații de la începutul anului 2024, aruncând lumină asupra unui ecosistem substanțial de hack-for-hire corporativ care operează din China. Aceste scurgeri subliniază conexiunile operaționale și organizaționale dintre entitățile din sectorul privat și actorii cibernetici sponsorizați de stat chinezi.
Noodle RAT poate fi exploatat de mai multe grupuri chinezești de criminalitate cibernetică
Se crede că instrumentele amenințătoare provin dintr-un lanț de aprovizionare sofisticat din cadrul rețelei de spionaj cibernetic a Chinei, unde sunt vândute și distribuite comercial atât sectorului privat, cât și entităților guvernamentale implicate în operațiuni rău intenționate sponsorizate de stat. Noodle RAT este probabil distribuit sau vândut printre grupurile vorbitoare de chineză. La urma urmei, a fost clasificat greșit și subestimat pentru o perioadă lungă de timp.
