Mì chuột
Một phần mềm độc hại đa nền tảng mới có tên Noodle RAT, trước đây chưa được các chuyên gia bảo mật biết đến, đã được các tác nhân đe dọa nói tiếng Trung Quốc sử dụng cho mục đích gián điệp và tội phạm mạng trong vài năm qua. Ban đầu được cho là một biến thể của Gh0st RAT và Rekoobe, các nhà nghiên cứu hiện xác nhận rằng Noodle RAT không chỉ là một bản sửa đổi của phần mềm độc hại hiện có mà là một mối đe dọa hoàn toàn mới. Nó hoạt động dưới các bí danh như ANRYREBEL và Nood RAT và tương thích với cả hệ thống Windows và Linux. Chủng phần mềm độc hại này bị nghi ngờ đã hoạt động ít nhất từ tháng 7 năm 2016.
Mục lục
Kẻ tấn công triển khai các biến thể Noodle RAT dựa trên hệ thống của nạn nhân
Phiên bản Windows của Noodle RAT, một cửa hậu mô-đun hoạt động trong bộ nhớ, đã được các nhóm hacker như Iron Tiger và Calypso sử dụng. Nó được kích hoạt thông qua một trình tải vì cấu trúc dựa trên shellcode của nó. Phần mềm độc hại này có khả năng thực thi nhiều lệnh khác nhau như tải xuống/tải lên tệp, chạy các chủng phần mềm độc hại khác, hoạt động như một proxy TCP và tự xóa. Hai loại trình tải riêng biệt là MULTIDROP và MICROLOAD đã được xác định trong các cuộc tấn công lần lượt nhắm vào Thái Lan và Ấn Độ.
Mặt khác, phiên bản Linux của Noodle RAT đã được sử dụng bởi nhiều nhóm tội phạm mạng và gián điệp khác nhau có liên quan đến Trung Quốc, như Rocke và Cloud Snooper. Biến thể này có khả năng khởi tạo một shell đảo ngược, quản lý việc truyền tệp, lên lịch tác vụ và thiết lập đường hầm SOCKS. Các cuộc tấn công này khai thác các lỗ hổng đã biết trong các ứng dụng có thể truy cập công khai để xâm nhập vào máy chủ Linux, triển khai Web shell để truy cập từ xa và phát tán phần mềm độc hại.
Điểm tương đồng giữa các phiên bản Mỳ RAT
Bất chấp sự khác biệt trong các lệnh cửa sau, cả hai phiên bản của Noodle RAT đều có chung mã liên lạc Lệnh và Kiểm soát (C2) giống hệt nhau và sử dụng các định dạng cấu hình tương tự. Việc kiểm tra sâu hơn về các tạo phẩm Noodle RAT cho thấy rằng mặc dù phần mềm độc hại kết hợp nhiều plugin khác nhau được Gh0st RAT sử dụng và một số phân đoạn của phiên bản Linux có chung mã tương tự với Rekoobe, nhưng bản thân cửa hậu này lại hoàn toàn mới.
Các nhà nghiên cứu cũng đã có được quyền truy cập vào bảng điều khiển và trình xây dựng được sử dụng cho biến thể Linux của Noodle RAT. Ghi chú phát hành được viết bằng tiếng Trung giản thể chi tiết về các bản sửa lỗi và cải tiến, cho thấy nó có thể được phát triển, duy trì và bán cho các khách hàng cụ thể.
Đánh giá này được củng cố bởi những rò rỉ từ đầu năm 2024, làm sáng tỏ một hệ sinh thái hack-cho-thuê đáng kể của công ty hoạt động từ Trung Quốc. Những rò rỉ này nhấn mạnh mối liên hệ hoạt động và tổ chức giữa các thực thể thuộc khu vực tư nhân và các tác nhân mạng do nhà nước Trung Quốc bảo trợ.
Noodle RAT có thể bị khai thác bởi nhiều nhóm tội phạm mạng Trung Quốc
Các công cụ đe dọa được cho là xuất phát từ chuỗi cung ứng phức tạp trong mạng lưới gián điệp mạng của Trung Quốc, nơi chúng được bán và phân phối thương mại cho cả khu vực tư nhân và các tổ chức chính phủ liên quan đến các hoạt động độc hại do nhà nước bảo trợ. Noodle RAT có thể được lưu hành hoặc bán giữa các nhóm người nói tiếng Trung Quốc. Rốt cuộc, nó đã bị phân loại sai và đánh giá thấp trong một thời gian dài.
