Rezance RAT
Čínsky hovoriaci aktéri hrozieb používali v posledných rokoch na účely špionáže a počítačovej kriminality nový multiplatformový malvér s názvom Noodle RAT, ktorý bezpečnostný experti predtým nepoznali. Pôvodne považovaný za variant Gh0st RAT a Rekoobe, výskumníci teraz potvrdzujú, že Noodle RAT nie je len modifikáciou existujúceho malvéru, ale úplne novou hrozbou. Funguje pod aliasmi ako ANGRYREBEL a Nood RAT a je kompatibilný so systémami Windows aj Linux. Predpokladá sa, že tento kmeň malvéru je aktívny minimálne od júla 2016.
Obsah
Útočníci nasadia varianty Noodle RAT založené na systémoch obetí
Vydanie Windows Noodle RAT, modulárne zadné vrátka, ktoré funguje v pamäti, využívajú hackerské skupiny ako Iron Tiger a Calypso. Aktivuje sa pomocou zavádzača kvôli jeho štruktúre založenej na shell kóde. Tento malvér je schopný vykonávať rôzne príkazy, ako je sťahovanie/nahrávanie súborov, spúšťanie iných kmeňov malvéru, pôsobenie ako TCP proxy a samovymazávanie. Pri útokoch zameraných na Thajsko a Indiu boli identifikované dva odlišné typy nakladačov, konkrétne MULTIDROP a MICROLOAD.
Na druhej strane, linuxovú verziu Noodle RAT používajú rôzne skupiny počítačovej kriminality a špionáže spojené s Čínou, ako napríklad Rocke a Cloud Snooper. Tento variant je schopný spustiť reverzný shell, spravovať prenosy súborov, plánovať úlohy a nastaviť tunelovanie SOCKS. Tieto útoky využívajú známe zraniteľnosti vo verejne prístupných aplikáciách na infiltráciu serverov Linux, nasadzovanie webového prostredia na vzdialený prístup a doručovanie škodlivého softvéru.
Podobnosti medzi verziami Noodle RAT
Napriek rozdielom v zadných vrátkach, obe verzie Noodle RAT údajne zdieľajú identický komunikačný kód Command-and-Control (C2) a používajú podobné konfiguračné formáty. Ďalšie skúmanie artefaktov Noodle RAT odhaľuje, že zatiaľ čo malvér obsahuje rôzne doplnky používané Gh0st RAT a niektoré segmenty verzie Linux zdieľajú kód podobný s Rekoobe, samotné zadné vrátka sú úplne nové.
Výskumníci tiež získali prístup k ovládaciemu panelu a staviteľovi používanému pre linuxový variant Noodle RAT. Poznámky k vydaniu napísané v zjednodušenej čínštine podrobné opravy chýb a vylepšenia, čo naznačuje, že je pravdepodobne vyvíjaný, udržiavaný a predávaný konkrétnym zákazníkom.
Toto hodnotenie je posilnené únikmi informácií zo začiatku roku 2024, ktoré vrhajú svetlo na významný podnikový ekosystém hacking-for-hire fungujúci z Číny. Tieto úniky podčiarkujú prevádzkové a organizačné prepojenia medzi subjektmi súkromného sektora a čínskymi štátom podporovanými kybernetickými aktérmi.
Rezance RAT môžu využívať viaceré čínske skupiny pre počítačovú kriminalitu
Predpokladá sa, že hrozivé nástroje pochádzajú zo sofistikovaného dodávateľského reťazca v rámci čínskej siete kybernetickej špionáže, kde sa komerčne predávajú a distribuujú súkromnému sektoru aj vládnym subjektom zapojeným do škodlivých štátom sponzorovaných operácií. Noodle RAT sa pravdepodobne šíri alebo predáva medzi čínskymi skupinami. Tá bola totiž dlhodobo nesprávne zaradená a podceňovaná.
