Neleiskite makaronų žiurkės grėsmei užvaldyti jūsų kompiuterį
„Noodle RAT“ yra neseniai atrasta kelių platformų kenkėjiška programa, kurią kiniškai kalbantys grėsmės veikėjai naudojo šnipinėdami ir nusikaltimams elektroninėje erdvėje. Nors iš pradžių buvo manoma, kad tai yra Gh0st RAT ir Rekoobe variantas, dabar ji pripažįstama kaip atskira kenkėjiškų programų rūšis.
Table of Contents
Fonas ir evoliucija
Pirmą kartą identifikuotas 2016 m. liepos mėn., Noodle RAT, taip pat žinomas kaip ANGRYREBEL arba Nood RAT, turi Windows ir Linux sistemų versijas. Gh0st RAT, kuris pasirodė 2008 m., buvo Kinijos vyriausybės įsilaužėlių bruožas. Bėgant metams kibernetinėse kampanijose buvo plačiai naudojami įrankiai, tokie kaip Gh0st RAT, PlugX ir ShadowPad.
„Windows“ variantas
„Windows“ versija „Noodle RAT“ yra atmintyje esančios modulinės užpakalinės durys, kurias naudoja įsilaužimo grupės, tokios kaip „Iron Tiger“ ir „Calypso“. Jis paleidžiamas per įkroviklį ir palaiko įvairias komandas, įskaitant failų atsisiuntimą / įkėlimą, papildomos kenkėjiškos programos paleidimą, TCP tarpinio serverio veikimą ir savęs ištrynimą. Du krautuvai MULTIDROP ir MICROLOAD buvo pastebėti per išpuolius Tailande ir Indijoje.
Linux variantas
„Noodle RAT“ „Linux“ atitikmenį naudoja įvairios su Kinija susijusios elektroninių nusikaltimų ir šnipinėjimo grupės, įskaitant „Rocke“ ir „Cloud Snooper“. Šis variantas gali paleisti atvirkštinį apvalkalą, atsisiųsti / įkelti failus, suplanuoti vykdymą ir inicijuoti SOCKS tuneliavimą. Atakose paprastai išnaudojami žinomi viešųjų programų saugos trūkumai, siekiant pažeisti serverius ir įdiegti žiniatinklio apvalkalą nuotolinei prieigai.
Bendrumai ir „Command-and-Control“.
Nepaisant komandų skirtumų, tiek „Windows“, tiek „Linux“ versijos turi identišką komandų ir valdymo (C2) ryšių ir panašių konfigūracijos formatų kodą. Tolesnė analizė rodo, kad nors „Noodle RAT“ pakartotinai naudoja „Gh0st RAT“ papildinius ir dalijasi kodu su „Rekoobe“, tai išlieka unikalia kenkėjiška programa.
Kūrimas ir platinimas
„Trend Micro“ tyrimai atskleidė „Noodle RAT“ „Linux“ varianto valdymo skydelį ir kūrėją, o išleidimo pastabos supaprastinta kinų kalba rodo aktyvų kūrimą ir priežiūrą. Kenkėjiška programinė įranga greičiausiai kuriama, prižiūrima ir parduodama sudėtingoje tiekimo grandinėje Kinijos kibernetinio šnipinėjimo ekosistemoje, kurioje dalyvauja privataus sektoriaus įmonės ir valstybės remiami veikėjai.
Neteisingas klasifikavimas ir nepakankamas įvertinimas
Makaronų RAT daugelį metų buvo neteisingai klasifikuojamas ir nepakankamai įvertintas. Su Kinija susijusi Mustang Panda grupė taip pat buvo susieta su sukčiavimo kampanijomis, nukreiptomis į Vietnamo subjektus, naudojant LNK failus, kad būtų įdiegta kenkėjiška programa PlugX.
Norint apsaugoti sistemas nuo kibernetinio šnipinėjimo ir nusikalstamumo, labai svarbu suprasti ir sumažinti Noodle RAT keliamą grėsmę. Skirtingų jo savybių ir sudėtingos tiekimo grandinės, slypinčios už jo platinimo, pripažinimas gali padėti sukurti veiksmingas gynybos strategijas.
