Μην επιτρέψετε στην απειλή Noodle RAT να καταλάβει τον υπολογιστή σας
Το Noodle RAT είναι ένα κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα, πολλαπλών πλατφορμών, το οποίο έχει χρησιμοποιηθεί από κινεζόφωνους φορείς απειλών τόσο για κατασκοπεία όσο και για εγκλήματα στον κυβερνοχώρο. Ενώ αρχικά θεωρήθηκε ότι ήταν μια παραλλαγή των Gh0st RAT και Rekoobe, τώρα αναγνωρίζεται ως ένας ξεχωριστός τύπος κακόβουλου λογισμικού.
Table of Contents
Ιστορικό και Εξέλιξη
Αναγνωρίστηκε για πρώτη φορά τον Ιούλιο του 2016, το Noodle RAT, γνωστό και ως ANGRYREBEL ή Nood RAT, έχει εκδόσεις τόσο για συστήματα Windows όσο και για Linux. Το Gh0st RAT, το οποίο εμφανίστηκε το 2008, ήταν χαρακτηριστικό των κινεζικών κυβερνητικών χάκερ. Με τα χρόνια, εργαλεία όπως το Gh0st RAT, το PlugX και το ShadowPad έχουν χρησιμοποιηθεί εκτενώς σε εκστρατείες στον κυβερνοχώρο.
Παραλλαγή Windows
Η έκδοση των Windows του Noodle RAT είναι μια σπονδυλωτή κερκόπορτα στη μνήμη, που χρησιμοποιείται από ομάδες hacking όπως οι Iron Tiger και Calypso. Εκκινείται μέσω ενός προγράμματος φόρτωσης και υποστηρίζει διάφορες εντολές, όπως λήψη/φόρτωση αρχείων, εκτέλεση πρόσθετου κακόβουλου λογισμικού, λειτουργία ως διακομιστής μεσολάβησης TCP και αυτοδιαγραφή. Δύο φορτωτές, MULTIDROP και MICROLOAD, έχουν παρατηρηθεί σε επιθέσεις στην Ταϊλάνδη και την Ινδία.
Παραλλαγή Linux
Το αντίστοιχο Linux του Noodle RAT χρησιμοποιείται από διαφορετικές ομάδες εγκλήματος στον κυβερνοχώρο και κατασκοπείας που συνδέονται με την Κίνα, συμπεριλαμβανομένων των Rocke και Cloud Snooper. Αυτή η παραλλαγή μπορεί να εκκινήσει ένα αντίστροφο κέλυφος, να κατεβάσει/ανεβάσει αρχεία, να προγραμματίσει εκτελέσεις και να ξεκινήσει τη δημιουργία σήραγγας SOCKS. Οι επιθέσεις συνήθως εκμεταλλεύονται γνωστά ελαττώματα ασφαλείας σε εφαρμογές που αντιμετωπίζουν το κοινό για να παραβιάσουν τους διακομιστές και να αναπτύξουν ένα κέλυφος ιστού για απομακρυσμένη πρόσβαση.
Κοινότητες και Command-and-Control
Παρά τις διαφορές στις εντολές τους, τόσο οι εκδόσεις Windows όσο και Linux μοιράζονται τον ίδιο κώδικα για επικοινωνίες εντολών και ελέγχου (C2) και παρόμοιες μορφές διαμόρφωσης. Περαιτέρω ανάλυση δείχνει ότι ενώ το Noodle RAT επαναχρησιμοποιεί πρόσθετα από το Gh0st RAT και μοιράζεται κώδικα με το Rekoobe, παραμένει ένα μοναδικό κομμάτι κακόβουλου λογισμικού.
Ανάπτυξη και Διανομή
Η έρευνα της Trend Micro αποκάλυψε έναν πίνακα ελέγχου και ένα πρόγραμμα δημιουργίας για την παραλλαγή Linux του Noodle RAT, με σημειώσεις έκδοσης στα Απλοποιημένα Κινεζικά που υποδεικνύουν την ενεργή ανάπτυξη και συντήρηση. Το κακόβουλο λογισμικό πιθανότατα αναπτύσσεται, συντηρείται και πωλείται σε μια πολύπλοκη αλυσίδα εφοδιασμού στο οικοσύστημα κυβερνοκατασκοπείας της Κίνας, στην οποία συμμετέχουν εταιρείες του ιδιωτικού τομέα και φορείς που χρηματοδοτούνται από το κράτος.
Εσφαλμένη ταξινόμηση και υποτίμηση
Το Noodle RAT έχει λανθασμένα ταξινομηθεί και υποτιμηθεί εδώ και χρόνια. Η συνδεδεμένη με την Κίνα ομάδα Mustang Panda έχει επίσης συνδεθεί με εκστρατείες spear-phishing που στοχεύουν βιετναμέζικες οντότητες, χρησιμοποιώντας αρχεία LNK για την ανάπτυξη του κακόβουλου λογισμικού PlugX.
Η κατανόηση και ο μετριασμός της απειλής που θέτει το Noodle RAT είναι ζωτικής σημασίας για την προστασία των συστημάτων από την κατασκοπεία και το έγκλημα στον κυβερνοχώρο. Η αναγνώριση των ξεχωριστών χαρακτηριστικών του και της εξελιγμένης αλυσίδας εφοδιασμού πίσω από τη διανομή του μπορεί να βοηθήσει στην ανάπτυξη αποτελεσματικών αμυντικών στρατηγικών.
