RAT petë
Një malware i ri ndër-platformë i quajtur Noodle RAT, i panjohur më parë për ekspertët e sigurisë, është përdorur nga aktorët e kërcënimeve që flasin kinezisht për qëllime spiunazhi dhe krimi kibernetik gjatë viteve të fundit. Fillimisht mendohet të jetë një variant i Gh0st RAT dhe Rekoobe, studiuesit tani konfirmojnë se Noodle RAT nuk është thjesht një modifikim i malware ekzistues, por një kërcënim krejtësisht i ri. Ai operon me pseudonime si ANGRYREBEL dhe Nood RAT dhe është i pajtueshëm me të dy sistemet Windows dhe Linux. Ky lloj malware dyshohet të ketë qenë aktiv të paktën që nga korriku 2016.
Tabela e Përmbajtjes
Sulmuesit vendosin variantet e noodle RAT bazuar në sistemet e viktimave
Edicioni i Windows i Noodle RAT, një derë e pasme modulare që funksionon në memorie, është përdorur nga grupe hakerash si Iron Tiger dhe Calypso. Ai aktivizohet përmes një ngarkuesi për shkak të strukturës së tij të bazuar në kodin shell. Ky malware është i aftë të ekzekutojë komanda të ndryshme si shkarkimi/ngarkimi i skedarëve, ekzekutimi i llojeve të tjera të malware, duke vepruar si një përfaqësues TCP dhe vetë-fshirje. Dy lloje të ndryshme ngarkuesish, përkatësisht MULTIDROP dhe MICROLOAD, janë identifikuar në sulmet që synojnë Tajlandën dhe Indinë, përkatësisht.
Nga ana tjetër, versioni Linux i Noodle RAT është përdorur nga grupe të ndryshme të krimit kibernetik dhe spiunazhit të lidhur me Kinën, si Rocke dhe Cloud Snooper. Ky variant është i aftë të inicojë një guaskë të kundërt, të menaxhojë transferimet e skedarëve, të planifikojë detyra dhe të konfigurojë një tunelim SOCKS. Këto sulme shfrytëzojnë dobësitë e njohura në aplikacionet e aksesueshme publikisht për të depërtuar në serverët Linux, duke vendosur një guaskë Uebi për akses në distancë dhe shpërndarje malware.
Ngjashmëritë midis versioneve Noodle RAT
Megjithë ndryshimet në komandat e pasme, të dy versionet e Noodle RAT raportohet se ndajnë të njëjtin kod komunikimi Command-and-Control (C2) dhe përdorin formate të ngjashme konfigurimi. Ekzaminimi i mëtejshëm i artefakteve të Noodle RAT zbulon se ndërsa malware përfshin shtojca të ndryshme të përdorura nga Gh0st RAT dhe disa segmente të versionit Linux ndajnë ngjashmëri të kodit me Rekoobe, vetë porta e pasme është krejtësisht e re.
Studiuesit kanë fituar gjithashtu akses në një panel kontrolli dhe ndërtues të përdorur për variantin Linux të Noodle RAT. Shënimet e publikimit të shkruara në rregullime dhe përmirësime të defekteve kineze të thjeshtuara, duke sugjeruar se ka të ngjarë të zhvillohet, mirëmbahet dhe shitet klientëve të veçantë.
Ky vlerësim është përforcuar nga rrjedhjet nga fillimi i vitit 2024, duke hedhur dritë mbi një ekosistem të konsiderueshëm të korporatës që vepron nga Kina. Këto rrjedhje nënvizojnë lidhjet operacionale dhe organizative midis njësive të sektorit privat dhe aktorëve kibernetikë të sponsorizuar nga shteti kinez.
Noodle RAT mund të shfrytëzohet nga grupe të shumta kineze të krimit kibernetik
Mjetet kërcënuese mendohet se burojnë nga një zinxhir i sofistikuar furnizimi brenda rrjetit të spiunazhit kibernetik të Kinës, ku ato shiten dhe shpërndahen në mënyrë komerciale si tek sektori privat ashtu edhe tek entitetet qeveritare të përfshira në operacione keqdashëse të sponsorizuara nga shteti. Noodle RAT ka të ngjarë të qarkullojë ose shitet midis grupeve që flasin kinezisht. Në fund të fundit, është keqklasifikuar dhe nënvlerësuar për një periudhë të gjatë.
