Nie pozwól, aby zagrożenie Noodle RAT przejęło kontrolę nad Twoim komputerem
Noodle RAT to niedawno odkryte, wieloplatformowe złośliwe oprogramowanie wykorzystywane przez chińskojęzycznych ugrupowań cyberprzestępczych zarówno do szpiegostwa, jak i cyberprzestępczości. Chociaż początkowo sądzono, że jest to odmiana Gh0st RAT i Rekoobe, obecnie uznano go za odrębny typ złośliwego oprogramowania.
Table of Contents
Tło i ewolucja
Po raz pierwszy zidentyfikowany w lipcu 2016 r. Noodle RAT, znany również jako ANGRYREBEL lub Nood RAT, ma wersje dla systemów Windows i Linux. Gh0st RAT, który pojawił się w 2008 roku, jest znakiem rozpoznawczym hakerów chińskiego rządu. Przez lata narzędzia takie jak Gh0st RAT, PlugX i ShadowPad były szeroko wykorzystywane w kampaniach cybernetycznych.
Wariant Windowsa
Wersja Noodle RAT dla systemu Windows to modułowy backdoor w pamięci, używany przez grupy hakerskie, takie jak Iron Tiger i Calypso. Jest uruchamiany za pośrednictwem modułu ładującego i obsługuje różne polecenia, w tym pobieranie/przesyłanie plików, uruchamianie dodatkowego złośliwego oprogramowania, działanie jako serwer proxy TCP i samousuwanie. W atakach na Tajlandię i Indie zaobserwowano dwie ładowarki, MULTIDROP i MICROLOAD.
Wariant Linuksa
Linuxowy odpowiednik Noodle RAT jest używany przez różne grupy cyberprzestępcze i szpiegowskie powiązane z Chinami, w tym Rocke i Cloud Snooper. W tym wariancie można uruchomić odwrotną powłokę, pobrać/przesłać pliki, zaplanować wykonanie i zainicjować tunelowanie SOCKS. Ataki zazwyczaj wykorzystują znane luki w zabezpieczeniach aplikacji dostępnych publicznie w celu włamania się do serwerów i wdrożenia powłoki internetowej w celu uzyskania zdalnego dostępu.
Podobieństwa oraz dowodzenie i kontrola
Pomimo różnic w poleceniach, zarówno wersje dla systemu Windows, jak i Linux mają identyczny kod do komunikacji typu „dowodzenie i kontrola” (C2) oraz podobne formaty konfiguracji. Dalsza analiza pokazuje, że chociaż Noodle RAT ponownie wykorzystuje wtyczki z Gh0st RAT i udostępnia kod Rekoobe, pozostaje unikalnym złośliwym oprogramowaniem.
Rozwój i dystrybucja
Badania firmy Trend Micro ujawniły panel sterowania i narzędzie do tworzenia wersji systemu Linux dla Noodle RAT, z informacjami o wersji w języku chińskim uproszczonym, wskazującymi na aktywny rozwój i konserwację. Szkodliwe oprogramowanie jest prawdopodobnie opracowywane, utrzymywane i sprzedawane w ramach złożonego łańcucha dostaw chińskiego ekosystemu cyberszpiegowskiego, obejmującego firmy z sektora prywatnego i podmioty sponsorowane przez państwo.
Błędna klasyfikacja i niedoszacowanie
Noodle RAT był przez lata błędnie klasyfikowany i niedoceniany. Powiązaną z Chinami grupę Mustang Panda powiązano także z kampaniami spear-phishingu wymierzonymi w podmioty wietnamskie, wykorzystującymi pliki LNK do wdrażania szkodliwego oprogramowania PlugX.
Zrozumienie i ograniczenie zagrożeń stwarzanych przez Noodle RAT ma kluczowe znaczenie dla ochrony systemów przed cyberszpiegostwem i przestępczością. Rozpoznanie jego odrębnych cech i wyrafinowanego łańcucha dostaw leżącego u podstaw jego dystrybucji może pomóc w opracowaniu skutecznych strategii obronnych.
