Ноодле РАТ
Нови злонамерни софтвер на различитим платформама под називом Ноодле РАТ, који је раније био непознат стручњацима за безбедност, користили су актери претњи са кинеског говорног подручја у сврхе шпијунаже и сајбер криминала у последњих неколико година. У почетку се сматрало да је варијанта Гх0ст РАТ-а и Рекообе-а, истраживачи сада потврђују да Ноодле РАТ није само модификација постојећег малвера већ потпуно нова претња. Ради под псеудонима као што су АНГРИРЕБЕЛ и Ноод РАТ и компатибилан је са Виндовс и Линук системима. За овај сој злонамерног софтвера се сумња да је активан најмање од јула 2016.
Преглед садржаја
Нападачи примењују варијанте Ноодле РАТ засноване на системима жртава
Виндовс издање Ноодле РАТ-а, модуларног бацкдоор-а који ради у меморији, користиле су хакерске групе као што су Ирон Тигер и Цалипсо. Активира се преко учитавача због структуре засноване на схелл коду. Овај злонамерни софтвер је способан да изврши различите команде као што су преузимање/учитавање датотека, покретање других врста злонамерног софтвера, деловање као ТЦП прокси и самобрисање. Два различита типа пуњача, а то су МУЛТИДРОП и МИЦРОЛОАД, идентификована су у нападима који циљају на Тајланд и Индију, респективно.
Са друге стране, Линук верзију Ноодле РАТ-а су користиле различите групе за сајбер криминал и шпијунажу повезане са Кином, као што су Роцке и Цлоуд Сноопер. Ова варијанта је способна да покрене обрнуту љуску, управља трансферима датотека, закаже задатке и подеси СОЦКС тунел. Ови напади искоришћавају познате рањивости у јавно доступним апликацијама да би се инфилтрирали на Линук сервере, примењујући веб љуску за даљински приступ и испоруку малвера.
Сличности између верзија Ноодле РАТ
Упркос разликама у бацкдоор командама, обе верзије Ноодле РАТ-а наводно деле идентичан Цомманд-анд-Цонтрол (Ц2) комуникациони код и користе сличне формате конфигурације. Даље испитивање артефаката Ноодле РАТ открива да иако малвер укључује различите додатке које користи Гх0ст РАТ, а неки сегменти Линук верзије деле сличности кода са Рекообе-ом, сам бацкдоор је потпуно нов.
Истраживачи су такође добили приступ контролној табли и буилдеру који се користи за Линук варијанту Ноодле РАТ-а. Напомене о издању написане на поједностављеном кинеском са детаљима исправке грешака и побољшања, сугеришући да се вероватно развија, одржава и продаје одређеним купцима.
Ова процена је појачана цурењем информација с почетка 2024., бацајући светло на значајан корпоративни екосистем хакирања за изнајмљивање који функционише из Кине. Ова цурења података наглашавају оперативне и организационе везе између ентитета приватног сектора и сајбер актера које спонзорише кинеска држава.
Ноодле РАТ може бити експлоатисан од стране више кинеских група за сајбер криминал
Сматра се да претећи алати потичу из софистицираног ланца снабдевања унутар кинеске мреже сајбер шпијунаже, где се комерцијално продају и дистрибуирају и приватном сектору и владиним субјектима укљученим у злонамерне операције које спонзорише држава. Ноодле РАТ се вероватно дистрибуира или продаје међу групама које говоре кинески. На крају крајева, он је погрешно класификован и потцењен током дужег периода.
