Ne hagyja, hogy a Noodle RAT fenyegetés elfoglalja számítógépét
A Noodle RAT egy nemrégiben felfedezett, platformokon átívelő rosszindulatú program, amelyet a kínaiul beszélő fenyegetés szereplői kémkedésre és számítógépes bűnözésre egyaránt használtak. Míg eredetileg a Gh0st RAT és a Rekoobe egy változatának gondolták, ma már a rosszindulatú programok külön típusaként ismerik fel.
Table of Contents
Háttér és evolúció
Az először 2016 júliusában azonosított Noodle RAT, más néven ANGRYREBEL vagy Nood RAT, Windows és Linux rendszerekre egyaránt rendelkezik verziókkal. A Gh0st RAT, amely 2008-ban jelent meg, a kínai kormányzati hackerek egyik jellemzője. Az évek során az olyan eszközöket, mint a Gh0st RAT, a PlugX és a ShadowPad, széles körben használták a kiberkampányokban.
Windows-változat
A Noodle RAT Windows-os verziója egy memórián belüli moduláris hátsó ajtó, amelyet olyan hackercsoportok használnak, mint az Iron Tiger és a Calypso. Betöltőn keresztül indítható, és különféle parancsokat támogat, beleértve a fájlok letöltését/feltöltését, további rosszindulatú programok futtatását, TCP-proxyként való működést és öntörlést. Két rakodót, a MULTIDROP-ot és a MICROLOAD-ot figyelték meg Thaiföld és India elleni támadások során.
Linux Variant
A Noodle RAT linuxos megfelelőjét különböző, Kínához köthető kiberbűnözők és kémszervezetek használják, köztük a Rocke és a Cloud Snooper. Ez a változat képes elindítani egy fordított parancsértelmezőt, letölteni/feltölteni fájlokat, ütemezni a végrehajtásokat és kezdeményezni SOCKS alagútkezelést. A támadások jellemzően a nyilvános alkalmazások ismert biztonsági hibáit használják ki a kiszolgálók megsértésére és a távoli hozzáféréshez webes shell telepítésére.
Közösségek és Command-and-Control
A parancsok közötti különbségek ellenére a Windows és a Linux verziók ugyanazt a kódot osztják meg a parancs és vezérlés (C2) kommunikációhoz és hasonló konfigurációs formátumokhoz. A további elemzések azt mutatják, hogy bár a Noodle RAT újrahasznosítja a Gh0st RAT bővítményeit, és megosztja a kódot a Rekoobe-val, ez továbbra is egyedülálló rosszindulatú program.
Fejlesztés és terjesztés
A Trend Micro kutatása felfedte a Noodle RAT Linux-változatának vezérlőpultját és fejlesztőjét, az egyszerűsített kínai nyelvű kiadási megjegyzésekkel, amelyek az aktív fejlesztést és karbantartást jelzik. A rosszindulatú szoftvert valószínűleg egy bonyolult ellátási láncon belül fejlesztik, karbantartják és értékesítik Kína kiberkémkedési ökoszisztémájában, magánszektorbeli cégek és államilag támogatott szereplők bevonásával.
Rossz besorolás és alulértékelés
A Noodle RAT-ot évek óta rosszul minősítették és alulértékelték. A Kínához köthető Mustang Panda csoportot a vietnami entitásokat célzó lándzsás adathalász kampányokkal is kapcsolatba hozták, és LNK fájlokat használnak a PlugX kártevő telepítéséhez.
A Noodle RAT által jelentett fenyegetés megértése és mérséklése kulcsfontosságú a rendszerek kiberkémkedéssel és bűnözéssel szembeni védelmében. Különböző jellemzőinek és az elosztása mögött meghúzódó kifinomult ellátási láncnak a felismerése segíthet a hatékony védelmi stratégiák kidolgozásában.
