Локшина ЩУР
Нове крос-платформне шкідливе програмне забезпечення під назвою Noodle RAT, раніше невідоме експертам з безпеки, протягом останніх кількох років використовувалося китайськомовними зловмисниками для шпигунства та кіберзлочинності. Спочатку вважалося, що це варіант Gh0st RAT і Rekoobe, тепер дослідники підтверджують, що Noodle RAT — це не просто модифікація існуючого шкідливого програмного забезпечення, а абсолютно нова загроза. Він працює під такими псевдонімами, як ANGRYREBEL і Nood RAT, і сумісний із системами Windows і Linux. Підозрюється, що цей штам шкідливого програмного забезпечення був активним принаймні з липня 2016 року.
Зміст
Зловмисники розгортають варіанти Noodle RAT на основі систем жертв
Версія Noodle RAT для Windows, модульний бекдор, який працює в пам’яті, використовувалася такими хакерськими групами, як Iron Tiger і Calypso. Він активується через завантажувач через його структуру на основі шелл-коду. Це зловмисне програмне забезпечення здатне виконувати різні команди, такі як завантаження/завантаження файлів, запуск інших штамів зловмисного програмного забезпечення, діяти як TCP-проксі та самовидалятися. Два різних типи завантажувачів, а саме MULTIDROP і MICROLOAD, були виявлені в атаках, націлених на Таїланд та Індію відповідно.
З іншого боку, Linux-версія Noodle RAT використовувалася різними кіберзлочинними та шпигунськими групами, пов’язаними з Китаєм, такими як Rocke і Cloud Snooper. Цей варіант здатний ініціювати зворотну оболонку, керувати передачею файлів, планувати завдання та налаштовувати тунелювання SOCKS. Ці атаки використовують відомі вразливості в загальнодоступних програмах для проникнення на сервери Linux, розгортання веб-оболонки для віддаленого доступу та доставки шкідливих програм.
Подібності між версіями Noodle RAT
Незважаючи на відмінності в командах бекдору, обидві версії Noodle RAT, як повідомляється, мають ідентичний комунікаційний код Command-and-Control (C2) і використовують схожі формати конфігурації. Подальше дослідження артефактів Noodle RAT показує, що хоча зловмисне програмне забезпечення містить різні плагіни, які використовує Gh0st RAT, і деякі сегменти версії Linux мають схожість коду з Rekoobe, сам бекдор є абсолютно новим.
Дослідники також отримали доступ до панелі керування та конструктора, який використовується для Linux-варіанту Noodle RAT. Примітки до випуску, написані спрощеною китайською мовою, детально описують виправлення помилок і вдосконалення, припускаючи, що його, ймовірно, розроблено, підтримується та продається певним клієнтам.
Ця оцінка підтверджується витоками інформації з початку 2024 року, які проливають світло на значну корпоративну екосистему хакерів за наймом, що працює з Китаю. Ці витоки підкреслюють операційні та організаційні зв’язки між суб’єктами приватного сектору та спонсорованими державою китайськими кіберакторами.
Noodle RAT може бути використаний кількома китайськими кіберзлочинними групами
Вважається, що загрозливі інструменти походять від складного ланцюжка поставок у китайській мережі кібершпигунства, де вони комерційно продаються та розповсюджуються як у приватному секторі, так і в державних установах, залучених до зловмисних операцій, спонсорованих державою. Noodle RAT, ймовірно, поширюється або продається серед китайськомовних груп. Зрештою, його неправильно класифікували та недооцінювали протягом тривалого періоду.
