ก๋วยเตี๋ยวหนู
มัลแวร์ข้ามแพลตฟอร์มตัวใหม่ชื่อ Noodle RAT ซึ่งก่อนหน้านี้ไม่รู้จักโดยผู้เชี่ยวชาญด้านความปลอดภัย ได้ถูกนำไปใช้โดยผู้คุกคามที่พูดภาษาจีนเพื่อวัตถุประสงค์ในการจารกรรมและอาชญากรรมทางไซเบอร์ในช่วงไม่กี่ปีที่ผ่านมา ในตอนแรกคิดว่าเป็นตัวแปรจาก Gh0st RAT และ Rekoobe ขณะนี้นักวิจัยยืนยันว่า Noodle RAT ไม่ใช่แค่การปรับเปลี่ยนมัลแวร์ที่มีอยู่ แต่เป็นภัยคุกคามใหม่ทั้งหมด มันทำงานภายใต้นามแฝงเช่น ANGRYREBEL และ Nood RAT และเข้ากันได้กับทั้งระบบ Windows และ Linux สงสัยว่ามัลแวร์สายพันธุ์นี้มีการใช้งานตั้งแต่อย่างน้อยเดือนกรกฎาคม 2559
สารบัญ
ผู้โจมตีติดตั้งระบบ Noodle RAT ตามระบบของเหยื่อ
Noodle RAT รุ่น Windows ซึ่งเป็นแบ็คดอร์แบบโมดูลาร์ที่ทำงานในหน่วยความจำ ถูกใช้โดยกลุ่มแฮ็กเกอร์ เช่น Iron Tiger และ Calypso มันถูกเปิดใช้งานผ่านตัวโหลดเนื่องจากมีโครงสร้างแบบเชลล์โค้ด มัลแวร์นี้สามารถรันคำสั่งต่างๆ ได้ เช่น การดาวน์โหลด/อัพโหลดไฟล์ การเรียกใช้มัลแวร์สายพันธุ์อื่นๆ ทำหน้าที่เป็นพร็อกซี TCP และการลบตัวเอง ตัวโหลดที่แตกต่างกันสองประเภท ได้แก่ MULTIDROP และ MICROLOAD ได้รับการระบุในการโจมตีที่กำหนดเป้าหมายประเทศไทยและอินเดียตามลำดับ
ในทางกลับกัน Noodle RAT เวอร์ชัน Linux ได้รับการว่าจ้างจากกลุ่มอาชญากรรมไซเบอร์และจารกรรมต่างๆ ที่เกี่ยวข้องกับจีน เช่น Rocke และ Cloud Snooper ตัวแปรนี้มีความสามารถในการเริ่มต้น Reverse Shell จัดการการถ่ายโอนไฟล์ กำหนดเวลางาน และตั้งค่า SOCKS tunneling การโจมตีเหล่านี้ใช้ประโยชน์จากช่องโหว่ที่รู้จักในแอปพลิเคชันสาธารณะที่เข้าถึงได้เพื่อแทรกซึมเซิร์ฟเวอร์ Linux ปรับใช้ Web Shell สำหรับการเข้าถึงระยะไกลและการส่งมัลแวร์
ความคล้ายคลึงกันระหว่างรุ่น Noodle RAT
แม้จะมีความแตกต่างในคำสั่งลับๆ แต่รายงาน Noodle RAT ทั้งสองเวอร์ชันใช้รหัสการสื่อสาร Command-and-Control (C2) ที่เหมือนกัน และใช้รูปแบบการกำหนดค่าที่คล้ายกัน การตรวจสอบเพิ่มเติมเกี่ยวกับสิ่งประดิษฐ์ของ Noodle RAT เผยให้เห็นว่าแม้ว่ามัลแวร์จะรวมเอาปลั๊กอินต่างๆ ที่ใช้โดย Gh0st RAT และบางส่วนของเวอร์ชัน Linux ก็มีโค้ดที่คล้ายคลึงกันกับ Rekoobe แต่ตัวแบ็คดอร์เองก็เป็นของใหม่ทั้งหมด
นักวิจัยยังสามารถเข้าถึงแผงควบคุมและเครื่องมือสร้างที่ใช้สำหรับ Noodle RAT รุ่น Linux บันทึกประจำรุ่นเขียนด้วยรายละเอียดการแก้ไขข้อบกพร่องและการปรับปรุงภาษาจีนตัวย่อ ซึ่งแนะนำว่าน่าจะมีการพัฒนา ดูแลรักษา และขายให้กับลูกค้าเฉพาะกลุ่ม
การประเมินนี้เสริมด้วยการรั่วไหลตั้งแต่ต้นปี 2024 ซึ่งให้ความกระจ่างเกี่ยวกับระบบนิเวศการแฮ็กเพื่อจ้างองค์กรจำนวนมากที่ดำเนินงานจากประเทศจีน การรั่วไหลเหล่านี้เน้นย้ำถึงความเชื่อมโยงด้านการปฏิบัติงานและองค์กรระหว่างหน่วยงานภาคเอกชนและผู้ดำเนินการทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐจีน
Noodle RAT อาจถูกใช้ประโยชน์โดยกลุ่มอาชญากรรมไซเบอร์ของจีนหลายกลุ่ม
เครื่องมือคุกคามดังกล่าวเชื่อว่ามีต้นกำเนิดมาจากห่วงโซ่อุปทานที่ซับซ้อนภายในเครือข่ายจารกรรมทางไซเบอร์ของจีน ซึ่งมีการขายและแจกจ่ายในเชิงพาณิชย์ให้กับทั้งภาคเอกชนและหน่วยงานภาครัฐที่เกี่ยวข้องกับปฏิบัติการที่เป็นอันตรายซึ่งรัฐสนับสนุน บะหมี่หนูมีแนวโน้มที่จะหมุนเวียนหรือขายในกลุ่มคนที่พูดภาษาจีน ท้ายที่สุดแล้ว มันถูกจัดประเภทผิดและประเมินต่ำไปเป็นเวลานาน
