Не позволяйте угрозе Noodle RAT захватить ваш компьютер
Noodle RAT — это недавно обнаруженное кроссплатформенное вредоносное ПО, которое используется китайскоязычными злоумышленниками как для шпионажа, так и для киберпреступлений. Первоначально считалось, что это вариант Gh0st RAT и Rekoobe, но теперь он признан отдельным типом вредоносного ПО.
Table of Contents
Предыстория и эволюция
Впервые обнаруженный в июле 2016 года, Noodle RAT, также известный как ANGRYREBEL или Nood RAT, имеет версии как для систем Windows, так и для Linux. Gh0st RAT, появившийся в 2008 году, стал визитной карточкой китайских правительственных хакеров. На протяжении многих лет такие инструменты, как Gh0st RAT, PlugX и ShadowPad, широко использовались в киберкампаниях.
Вариант для Windows
Версия Noodle RAT для Windows представляет собой модульный бэкдор в памяти, используемый хакерскими группами, такими как Iron Tiger и Calypso. Он запускается через загрузчик и поддерживает различные команды, включая загрузку/загрузку файлов, запуск дополнительных вредоносных программ, работу в качестве TCP-прокси и самоудаление. Два погрузчика, MULTIDROP и MICROLOAD, были замечены в нападениях на Таиланд и Индию.
Вариант Linux
Linux-аналог Noodle RAT используется различными киберпреступными и шпионскими группами, связанными с Китаем, включая Rocke и Cloud Snooper. Этот вариант может запускать обратную оболочку, загружать/выгружать файлы, планировать выполнение и инициировать туннелирование SOCKS. Атаки обычно используют известные недостатки безопасности в общедоступных приложениях для взлома серверов и развертывания веб-оболочки для удаленного доступа.
Общие черты и командование и контроль
Несмотря на различия в командах, версии для Windows и Linux имеют одинаковый код для связи управления и контроля (C2) и схожие форматы конфигурации. Дальнейший анализ показывает, что, хотя Noodle RAT повторно использует плагины Gh0st RAT и разделяет код с Rekoobe, он остается уникальным вредоносным ПО.
Разработка и распространение
Исследование Trend Micro выявило панель управления и конструктор для варианта Linux Noodle RAT с примечаниями к выпуску на упрощенном китайском языке, указывающими на активную разработку и обслуживание. Вредоносное ПО, скорее всего, разрабатывается, поддерживается и продается в рамках сложной цепочки поставок в экосистеме кибершпионажа Китая, в которой участвуют фирмы частного сектора и спонсируемые государством субъекты.
Неправильная классификация и недооценка
Noodle RAT уже много лет неправильно классифицируется и недооценивается. Связанная с Китаем группа Mustang Panda также была связана с целевыми фишинговыми кампаниями, направленными против вьетнамских организаций, используя файлы LNK для развертывания вредоносного ПО PlugX.
Понимание и смягчение угрозы, исходящей от Noodle RAT, имеет решающее значение для защиты систем от кибершпионажа и преступности. Признание его отличительных особенностей и сложной цепочки поставок, лежащей в основе его распространения, может помочь в разработке эффективных оборонных стратегий.
