Noodle RAT
Ang isang bagong cross-platform na malware na pinangalanang Noodle RAT, na dati ay hindi kilala ng mga eksperto sa seguridad, ay ginamit ng mga aktor ng pananakot na nagsasalita ng Chinese para sa mga layunin ng espionage at cybercrime sa nakalipas na ilang taon. Sa simula ay inakala na isang variant ng Gh0st RAT at Rekoobe, kinumpirma na ngayon ng mga mananaliksik na ang Noodle RAT ay hindi lamang isang pagbabago ng kasalukuyang malware ngunit isang ganap na bagong banta. Gumagana ito sa ilalim ng mga alias tulad ng ANGRYREBEL at Nood RAT at tugma sa parehong Windows at Linux system. Ang malware strain na ito ay pinaghihinalaang naging aktibo simula noong Hulyo 2016 man lang.
Talaan ng mga Nilalaman
Inilalagay ng mga Attacker ang mga Variant ng Noodle RAT Batay sa Sistema ng mga Biktima
Ang Windows edition ng Noodle RAT, isang modular backdoor na nagpapatakbo sa memorya, ay ginamit ng mga grupo ng hacker tulad ng Iron Tiger at Calypso. Ito ay isinaaktibo sa pamamagitan ng isang loader dahil sa istrukturang nakabatay sa shellcode nito. Ang malware na ito ay may kakayahang magsagawa ng iba't ibang mga utos tulad ng pag-download/pag-upload ng mga file, pagpapatakbo ng iba pang mga strain ng malware, pagkilos bilang TCP proxy, at pagtanggal sa sarili. Dalawang natatanging uri ng loader, ang MULTIDROP at MICROLOAD, ay natukoy sa mga pag-atake na nagta-target sa Thailand at India, ayon sa pagkakabanggit.
Sa kabilang banda, ang Linux na bersyon ng Noodle RAT ay ginamit ng iba't ibang cybercrime at espionage group na nauugnay sa China, tulad ng Rocke at Cloud Snooper. Ang variant na ito ay may kakayahang magpasimula ng reverse shell, pamahalaan ang mga paglilipat ng file, mag-iskedyul ng mga gawain, at mag-set up ng SOCKS tunneling. Sinasamantala ng mga pag-atakeng ito ang mga kilalang kahinaan sa mga application na naa-access ng publiko upang makalusot sa mga server ng Linux, na nagde-deploy ng Web shell para sa malayuang pag-access at paghahatid ng malware.
Pagkakatulad sa Pagitan ng Noodle RAT Bersyon
Sa kabila ng mga pagkakaiba sa mga backdoor command, ang parehong mga bersyon ng Noodle RAT ay iniulat na nagbabahagi ng magkaparehong Command-and-Control (C2) na code ng komunikasyon at gumagamit ng mga katulad na format ng configuration. Ang karagdagang pagsusuri sa mga artifact ng Noodle RAT ay nagpapakita na habang ang malware ay nagsasama ng iba't ibang mga plugin na ginagamit ng Gh0st RAT, at ang ilang mga segment ng bersyon ng Linux ay nagbabahagi ng mga pagkakatulad ng code sa Rekoobe, ang backdoor mismo ay ganap na bago.
Ang mga mananaliksik ay nakakuha din ng access sa isang control panel at tagabuo na ginagamit para sa variant ng Linux ng Noodle RAT. Mga tala sa paglabas na nakasulat sa mga pag-aayos at pagpapahusay ng bug ng Detalye ng Pinasimpleng Chinese, na nagmumungkahi na malamang na binuo, pinananatili, at naibenta ito sa mga partikular na customer.
Ang pagtatasa na ito ay pinalalakas ng mga pagtagas mula sa unang bahagi ng 2024, na nagbibigay-liwanag sa isang malaking corporate hack-for-hire ecosystem na tumatakbo mula sa China. Ang mga pagtagas na ito ay binibigyang-diin ang mga koneksyon sa pagpapatakbo at pang-organisasyon sa pagitan ng mga entidad ng pribadong sektor at mga aktor ng cyber na inisponsor ng estado ng China.
Ang Noodle RAT ay maaaring pinagsamantalahan ng Maramihang Chinese Cybercrime Groups
Ang mga tool na nagbabanta ay inaakalang nagmumula sa isang sopistikadong supply chain sa loob ng cyber espionage network ng China, kung saan ibinebenta at ipinamamahagi ang mga ito sa parehong pribadong sektor at mga entidad ng pamahalaan na sangkot sa mga malisyosong operasyong itinataguyod ng estado. Ang Noodle RAT ay malamang na ipinakalat o ibinebenta sa mga grupong nagsasalita ng Chinese. Pagkatapos ng lahat, ito ay na-misclassified at minamaliit para sa isang pinalawig na panahon.
