Ένα νέο cross-platform malware, με την ονομασία Noodle RAT, χρησιμοποιείται εδώ και χρόνια από κινεζόφωνους φορείς απειλών για κυβερνοκατασκοπεία.
Δείτε επίσης: Το ValleyRAT malware επανεμφανίζεται με νέες τακτικές για κλοπή δεδομένων
Αν και αυτό το backdoor είχε προηγουμένως κατηγοριοποιηθεί ως παραλλαγή των Gh0st RAT και Rekoobe, η ερευνήτρια ασφαλείας της Trend Micro, Hara Hiroaki, υπογράμμισε ότι “αυτό το backdoor δεν είναι απλώς παραλλαγή υπάρχοντος κακόβουλου λογισμικού, αλλά ένας εντελώς νέος τύπος.”
Το Noodle RAT, γνωστό και ως ANGRYREBEL και Nood RAT, διατίθεται για Windows και Linux και πιστεύεται ότι χρησιμοποιείται τουλάχιστον από τον Ιούλιο του 2016. Το αρχικό Gh0st RAT εμφανίστηκε το 2008 όταν η κινεζική ομάδα απειλών C. Rufus Security Team δημοσίευσε τον πηγαίο κώδικά του. Με τα χρόνια, το κακόβουλο λογισμικό, όπως και άλλα εργαλεία όπως το PlugX και το ShadowPad, έγινε χαρακτηριστικό των κινέζων χάκερ, οι οποίοι το χρησιμοποίησαν σε πολυάριθμες καμπάνιες και επιθέσεις.
Η έκδοση των Windows του Noodle RAT, ενός backdoor στη μνήμη, έχει χρησιμοποιηθεί από ομάδες hacking όπως οι Iron Tiger και Calypso. Κυκλοφορεί μέσω ενός loader λόγω των θεμελίων του shellcode, υποστηρίζει εντολές για λήψη/φόρτωση αρχείων, εκτέλεση πρόσθετων τύπων κακόβουλου λογισμικού, λειτουργία ως server διαμεσολάβησης TCP ακόμη και αυτοδιαγραφή.
Τουλάχιστον δύο διαφορετικοί τύποι φορτωτών, όπως οι MULTIDROP και MICROLOAD, έχουν παρατηρηθεί σε επιθέσεις που στοχεύουν την Ταϊλάνδη και την Ινδία, αντίστοιχα. Η έκδοση Linux του Noodle RAT έχει χρησιμοποιηθεί από διάφορες ομάδες κυβερνοεγκλήματος και κατασκοπείας που συνδέονται με την Κίνα, συμπεριλαμβανομένων των Rocke και Cloud Snooper. Είναι εξοπλισμένο για να εκκινεί ένα αντίστροφο κέλυφος, να κατεβάζει/ανεβάζει αρχεία, να προγραμματίζει εκτελέσεις και να ξεκινά το SOCKS tunneling. Οι επιθέσεις αξιοποιούν γνωστά ελαττώματα ασφαλείας σε δημόσιες εφαρμογές για να παραβιάζουν servers Linux και να εγκαθιστούν ένα web shell για απομακρυσμένη πρόσβαση και παράδοση κακόβουλου λογισμικού.
Διαβάστε ακόμα: Το Dora RAT Malware στοχεύει ινστιτούτα της Νότιας Κορέας
Παρά τις διαφορές στις εντολές του backdoor, και οι δύο εκδόσεις μοιράζονται τον ίδιο κώδικα για επικοινωνίες εντολών και ελέγχου (C2) και χρησιμοποιούν παρόμοιες μορφές διαμόρφωσης.
Μια πιο λεπτομερής ανάλυση των τεχνουργημάτων του Noodle RAT αποκαλύπτει ότι, ενώ το κακόβουλο λογισμικό επαναχρησιμοποιεί διάφορα πρόσθετα του Gh0st RAT και ορισμένα τμήματα του κοινού κώδικα της έκδοσης Linux επικαλύπτονται με το Rekoobe, το ίδιο το backdoor είναι εντελώς νέο.
Η Trend Micro ανέφερε ότι κατάφερε επίσης να αποκτήσει πρόσβαση σε έναν πίνακα ελέγχου και ένα πρόγραμμα δημιουργίας που χρησιμοποιούνται για την παραλλαγή Linux του Noodle RAT, με σημειώσεις έκδοσης γραμμένες σε απλά Κινέζικα. Αυτές οι σημειώσεις περιείχαν λεπτομέρειες για διορθώσεις σφαλμάτων και βελτιώσεις, υποδεικνύοντας ότι το λογισμικό πιθανότατα έχει αναπτυχθεί, συντηρηθεί και πωληθεί σε ενδιαφερόμενους πελάτες.
Αυτή η υπόθεση ενισχύεται περαιτέρω από τις διαρροές του I-Soon νωρίτερα αυτό το έτος, οι οποίες αποκάλυψαν μια τεράστια εταιρική σκηνή hack-for-hire που λειτουργεί εκτός Κίνας, καθώς και τους επιχειρησιακούς και οργανωτικούς δεσμούς μεταξύ ιδιωτικών εταιρειών και κινεζικών κρατικών φορέων στον κυβερνοχώρο.
Τέτοια εργαλεία πιστεύεται ότι είναι το αποτέλεσμα μιας πολύπλοκης αλυσίδας εφοδιασμού εντός του οικοσυστήματος κυβερνοκατασκοπείας της Κίνας, όπου πωλούνται και διανέμονται εμπορικά στον ιδιωτικό τομέα και σε κυβερνητικές οντότητες που εμπλέκονται σε κακόβουλες κρατικές δραστηριότητες.
“Το Noodle RAT πιθανότατα μοιράζεται (ή πωλείται) μεταξύ κινεζόφωνων ομάδων,” δήλωσε ο Hiroaki. “Το Noodle RAT έχει λανθασμένα ταξινομηθεί και υποτιμηθεί εδώ και χρόνια.”
Δείτε περισσότερα: Το νέο RAT malware AllaSenha στοχεύει τράπεζες στη Βραζιλία
Αυτή η εξέλιξη έρχεται καθώς η Mustang Panda (γνωστή και ως Fireant), η οποία συνδέεται με την Κίνα, έχει συνδεθεί με μια καμπάνια spear-phishing που στοχεύει βιετναμέζικες οντότητες χρησιμοποιώντας θέλγητρα με θέματα φορολογίας και εκπαίδευσης για την παράδοση αρχείων συντόμευσης των Windows (LNK), που έχουν σχεδιαστεί για την πιθανή ανάπτυξη του κακόβουλου λογισμικού PlugX.
Πηγή: thehackernews