PODGANA z rezanci
Novo medplatformsko zlonamerno programsko opremo, imenovano Noodle RAT, ki doslej ni bila poznana varnostnim strokovnjakom, so kitajsko govoreči akterji groženj v zadnjih nekaj letih uporabljali za namene vohunjenja in kibernetskega kriminala. Raziskovalci so sprva mislili, da gre za različico Gh0st RAT in Rekoobe, zdaj pa potrjujejo, da Noodle RAT ni le modifikacija obstoječe zlonamerne programske opreme, temveč povsem nova grožnja. Deluje pod vzdevki, kot sta ANGRYREBEL in Nood RAT, in je združljiv s sistemoma Windows in Linux. Sumi se, da je ta vrsta zlonamerne programske opreme aktivna vsaj od julija 2016.
Kazalo
Napadalci uporabijo različice Noodle RAT, ki temeljijo na sistemih žrtev
Različico sistema Windows za Noodle RAT, modularna zadnja vrata, ki deluje v pomnilniku, so uporabljale hekerske skupine, kot sta Iron Tiger in Calypso. Aktivira se prek nalagalnika zaradi svoje strukture, ki temelji na lupinski kodi. Ta zlonamerna programska oprema je sposobna izvajati različne ukaze, kot je prenos/nalaganje datotek, izvajanje drugih različic zlonamerne programske opreme, delovanje kot posrednik TCP in samoizbris. Dve različni vrsti nalagalnika, in sicer MULTIDROP in MICROLOAD, sta bili identificirani v napadih, ki ciljajo na Tajsko oziroma Indijo.
Po drugi strani so različico Noodle RAT za Linux uporabljale različne skupine za kibernetski kriminal in vohunjenje, povezane s Kitajsko, kot sta Rocke in Cloud Snooper. Ta različica je sposobna sprožiti obratno lupino, upravljati prenose datotek, načrtovati opravila in nastaviti tuneliranje SOCKS. Ti napadi izkoriščajo znane ranljivosti v javno dostopnih aplikacijah za infiltracijo v strežnike Linux, uvajanje spletne lupine za oddaljen dostop in dostavo zlonamerne programske opreme.
Podobnosti med različicami Noodle RAT
Kljub razlikam v ukazih za zakulisna vrata naj bi obe različici Noodle RAT delili identično komunikacijsko kodo Command-and-Control (C2) in uporabljali podobne formate konfiguracije. Nadaljnja preiskava artefaktov Noodle RAT razkrije, da čeprav zlonamerna programska oprema vključuje različne vtičnike, ki jih uporablja Gh0st RAT, in nekateri segmenti različice Linuxa imajo podobno kodo z Rekoobe, so sama zadnja vrata povsem nova.
Raziskovalci so pridobili tudi dostop do nadzorne plošče in graditelja, ki se uporablja za različico Noodle RAT za Linux. Opombe ob izdaji, napisane v poenostavljeni kitajščini, podrobno opisujejo popravke napak in izboljšave, kar nakazuje, da je verjetno razvit, vzdrževan in prodan določenim strankam.
To oceno potrjujejo uhajanja informacij iz začetka leta 2024, ki osvetljujejo obsežen ekosistem vdorov za najem podjetij, ki deluje s Kitajske. Ta uhajanja poudarjajo operativne in organizacijske povezave med subjekti zasebnega sektorja in kitajskimi kibernetskimi akterji, ki jih sponzorira država.
Noodle RAT morda izkorišča več kitajskih skupin za kibernetski kriminal
Nevarna orodja naj bi izvirala iz prefinjene dobavne verige znotraj kitajskega kibernetskega vohunskega omrežja, kjer se komercialno prodajajo in distribuirajo zasebnemu sektorju in vladnim subjektom, ki so vpleteni v zlonamerne operacije, ki jih sponzorira država. Noodle RAT verjetno kroži ali prodaja med kitajsko govorečimi skupinami. Konec koncev je bil dalj časa napačno razvrščen in podcenjen.
