Лапша КРЫСА
Новое кроссплатформенное вредоносное ПО под названием Noodle RAT, ранее неизвестное экспертам по безопасности, в течение последних нескольких лет использовалось китайскоязычными злоумышленниками в целях шпионажа и киберпреступности. Первоначально считавшаяся вариантом Gh0st RAT и Rekoobe, исследователи теперь подтверждают, что Noodle RAT — это не просто модификация существующего вредоносного ПО, а совершенно новая угроза. Он работает под такими псевдонимами, как ANGRYREBEL и Nood RAT, и совместим как с системами Windows, так и с Linux. Предполагается, что этот штамм вредоносного ПО активен как минимум с июля 2016 года.
Оглавление
Злоумышленники развертывают варианты Noodle RAT на основе систем жертв
Версия Noodle RAT для Windows, модульного бэкдора, работающего в памяти, использовалась такими хакерскими группами, как Iron Tiger и Calypso. Он активируется через загрузчик из-за его структуры на основе шелл-кода. Это вредоносное ПО способно выполнять различные команды, такие как загрузка/выгрузка файлов, запуск других разновидностей вредоносного ПО, действие в качестве TCP-прокси и самоудаление. Два различных типа загрузчиков, а именно MULTIDROP и MICROLOAD, были выявлены в ходе атак, направленных на Таиланд и Индию соответственно.
С другой стороны, версия Noodle RAT для Linux использовалась различными киберпреступными и шпионскими группировками, связанными с Китаем, такими как Rocke и Cloud Snooper. Этот вариант способен запускать обратную оболочку, управлять передачей файлов, планировать задачи и настраивать туннелирование SOCKS. Эти атаки используют известные уязвимости в общедоступных приложениях для проникновения на серверы Linux, развертывания веб-оболочки для удаленного доступа и доставки вредоносного ПО.
Сходства между версиями Noodle RAT
Несмотря на различия в бэкдор-командах, обе версии Noodle RAT, как сообщается, имеют одинаковый коммуникационный код управления и контроля (C2) и используют схожие форматы конфигурации. Дальнейшее изучение артефактов Noodle RAT показывает, что, хотя вредоносное ПО включает в себя различные плагины, используемые Gh0st RAT, и некоторые сегменты версии Linux имеют сходство кода с Rekoobe, сам бэкдор является совершенно новым.
Исследователи также получили доступ к панели управления и конструктору, используемому для Linux-варианта Noodle RAT. В примечаниях к выпуску, написанных на упрощенном китайском языке, подробно описаны исправления ошибок и улучшения, предполагающие, что он, вероятно, разрабатывается, поддерживается и продается конкретным клиентам.
Эта оценка подкрепляется утечками, произошедшими в начале 2024 года, которые проливают свет на обширную корпоративную экосистему найма хакеров, действующую из Китая. Эти утечки подчеркивают оперативные и организационные связи между организациями частного сектора и спонсируемыми китайским государством киберпреступниками.
Noodle RAT может быть использован несколькими китайскими киберпреступными группировками
Предполагается, что эти угрожающие инструменты происходят из сложной цепочки поставок внутри китайской сети кибершпионажа, где они коммерчески продаются и распространяются как среди частного сектора, так и среди государственных структур, участвующих в вредоносных операциях, спонсируемых государством. Noodle RAT, вероятно, распространяется или продается среди китайскоязычных групп. В конце концов, его неправильно классифицировали и недооценивали в течение длительного периода.
