Erişte RAT
Daha önce güvenlik uzmanları tarafından bilinmeyen Noodle RAT adlı yeni bir platformlar arası kötü amaçlı yazılım, son birkaç yıldır Çince konuşan tehdit aktörleri tarafından casusluk ve siber suç amacıyla kullanıldı. Başlangıçta Gh0st RAT ve Rekoobe'nin bir çeşidi olduğu düşünülen araştırmacılar, artık Noodle RAT'ın yalnızca mevcut kötü amaçlı yazılımın bir modifikasyonu değil, tamamen yeni bir tehdit olduğunu doğruluyor. ANGRYREBEL ve Nood RAT gibi takma adlar altında çalışır ve hem Windows hem de Linux sistemleriyle uyumludur. Bu kötü amaçlı yazılım türünün en az Temmuz 2016'dan beri aktif olduğundan şüpheleniliyor.
İçindekiler
Saldırganlar, Kurbanların Sistemlerine Dayalı Erişte RAT Varyantlarını Kullanıyor
Bellek içinde çalışan modüler bir arka kapı olan Noodle RAT'ın Windows sürümü, Iron Tiger ve Calypso gibi hacker grupları tarafından kullanıldı. Kabuk kodu tabanlı yapısı nedeniyle bir yükleyici aracılığıyla etkinleştirilir. Bu kötü amaçlı yazılım, dosya indirme/yükleme, diğer kötü amaçlı yazılım türlerini çalıştırma, TCP proxy görevi görme ve kendi kendini silme gibi çeşitli komutları yürütme yeteneğine sahiptir. Tayland ve Hindistan'a yönelik saldırılarda sırasıyla MULTIDROP ve MICROLOAD olmak üzere iki farklı yükleyici tipi tespit edildi.
Öte yandan, Noodle RAT'ın Linux sürümü, Rocke ve Cloud Snooper gibi Çin ile bağlantılı çeşitli siber suç ve casusluk grupları tarafından kullanılıyor. Bu varyant bir ters kabuk başlatma, dosya aktarımlarını yönetme, görevleri zamanlama ve bir SOCKS tüneli kurma yeteneğine sahiptir. Bu saldırılar, uzaktan erişim ve kötü amaçlı yazılım dağıtımı için bir Web kabuğu dağıtarak Linux sunucularına sızmak için genel olarak erişilebilen uygulamalardaki bilinen güvenlik açıklarından yararlanır.
Noodle RAT Versiyonları Arasındaki Benzerlikler
Arka kapı komutlarındaki farklılıklara rağmen, Noodle RAT'ın her iki versiyonunun da aynı Komuta ve Kontrol (C2) iletişim kodunu paylaştığı ve benzer konfigürasyon formatlarını kullandığı bildiriliyor. Noodle RAT eserlerinin daha ayrıntılı incelenmesi, kötü amaçlı yazılımın Gh0st RAT tarafından kullanılan çeşitli eklentileri içermesine ve Linux sürümünün bazı bölümlerinin Rekoobe ile kod benzerliklerini paylaşmasına rağmen, arka kapının kendisinin tamamen yeni olduğunu ortaya koyuyor.
Araştırmacılar ayrıca Noodle RAT'ın Linux versiyonu için kullanılan bir kontrol paneline ve oluşturucuya da erişim elde etti. Basitleştirilmiş Çince ayrıntılı hata düzeltmeleri ve iyileştirmelerle yazılmış sürüm notları, muhtemelen geliştirildiğini, sürdürüldüğünü ve belirli müşterilere satıldığını öne sürüyor.
Bu değerlendirme, 2024'ün başından itibaren ortaya çıkan sızıntılarla destekleniyor ve Çin'de faaliyet gösteren önemli bir kurumsal kiralık hack ekosistemine ışık tutuyor. Bu sızıntılar, özel sektör kuruluşları ile Çin devleti destekli siber aktörler arasındaki operasyonel ve organizasyonel bağlantıların altını çiziyor.
Noodle RAT, Birden Fazla Çinli Siber Suç Grubu Tarafından Kullanılabilir
Tehdit edici araçların, Çin'in siber casusluk ağı içindeki karmaşık bir tedarik zincirinden kaynaklandığı düşünülüyor; burada ticari olarak satılıyor ve hem özel sektöre hem de kötü niyetli devlet destekli operasyonlara katılan hükümet kuruluşlarına dağıtılıyor. Noodle RAT muhtemelen Çince konuşan gruplar arasında dağıtılıyor veya satılıyor. Sonuçta, uzun bir süre boyunca yanlış sınıflandırıldı ve hafife alındı.
