Ранее недокументированное кроссплатформенное вредоносное ПО под кодовым названием Noodle RAT уже много лет используется китайскоязычными злоумышленниками либо для шпионажа, либо для киберпреступлений.
Хотя этот бэкдор ранее классифицировался как вариант Gh0st RAT и Rekoobe, исследователь безопасности Trend Micro Хара Хироаки сказал: "Этот бэкдор - не просто вариант существующего вредоносного ПО, но совершенно новый тип".
Noodle RAT, которая также известна под прозвищами ANGRYREBEL и Nood RAT, выпускается как для Windows, так и для Linux и, как полагают, используется как минимум с июля 2016 года.
Вирус удаленного доступа "Noodle RAT" впервые появился в 2008 году, когда китайская группа угроз под названием C. Rufus Security Team опубликовала его исходный код в открытом доступе.
С годами вредоносное ПО – наряду с другими инструментами, такими как PlugX и ShadowPad – стало визитной карточкой китайских правительственных хакеров, которые использовали его в многочисленных кампаниях и атаках.
Версия Noodle RAT для Windows, модульного бэкдора в памяти, была использована такими хакерскими группами, как Iron Tiger и Calypso. Запускаемое через загрузчик благодаря основам шеллкода, оно поддерживает команды для загрузки файлов, запуска дополнительных типов вредоносных программ, функционирует как TCP-прокси и даже самоудаляется.
По крайней мере, два разных типа загрузчиков, а именно. MULTIDROP и MICROLOAD, на сегодняшний день были замечены в атаках, направленных на Таиланд и Индию соответственно.
Linux-аналог Noodle RAT, с другой стороны, использовался различными группами киберпреступности и шпионажа, связанными с Китаем, включая Rocke и Cloud Snooper.
Она способна запускать обратную оболочку, загружать файлы, планировать выполнение и инициировать туннелирование SOCKS, при этом атаки используют известные недостатки безопасности в общедоступных приложениях для взлома серверов Linux и отключения веб-оболочки для удаленного доступа и доставки вредоносного ПО.
Несмотря на различия в командах бэкдора, обе версии, как утверждается, используют идентичный код для командно-контрольной связи (C2) и схожие форматы конфигурации.
Дальнейший анализ артефактов Noodle RAT показывает, что, хотя вредоносное ПО повторно использует различные плагины, используемые Gh0st RAT, а некоторые части общего кода версии Linux перекрываются с Rekoobe, сам по себе бэкдор совершенно новый.
Компания Trend Micro заявила, что ей также удалось получить доступ к панели управления и сборщику, используемому для версии Linux от Noodle RAT, с примечаниями к выпуску, написанными на упрощенном китайском языке и содержащими подробную информацию об исправлениях ошибок и улучшениях, указывающих на то, что она, вероятно, разрабатывается, поддерживается и продается заинтересованным клиентам.
Эта гипотеза также подтверждается утечками I-Soon ранее в этом году, которые высветили обширную корпоративную сеть хакеров по найму, действующих за пределами Китая, и операционные и организационные связи между фирмами частного сектора и китайскими киберпреступниками, спонсируемыми государством.
Считается, что такие инструменты являются результатом сложной цепочки поставок в экосистеме кибершпионажа Китая, где они продаются и распространяются на коммерческой основе в частном секторе и государственных структурах, занимающихся вредоносной деятельностью, спонсируемой государством.
"Noodle RAT, скорее всего, распространяется (или продается) среди китайскоязычных групп", - сказал Хироаки. "Noodle RAT годами неправильно классифицировался и недооценивался".
Разработка происходит в связи с тем, что связанный с Китаем Mustang Panda (он же Fireant) был связан с фишинговой кампанией, направленной против вьетнамских организаций, использующих приманки на налоговую и образовательную тематику для доставки файлов быстрого доступа Windows (LNK), которые, вероятно, предназначены для развертывания вредоносного ПО PlugX.
Хотя этот бэкдор ранее классифицировался как вариант Gh0st RAT и Rekoobe, исследователь безопасности Trend Micro Хара Хироаки сказал: "Этот бэкдор - не просто вариант существующего вредоносного ПО, но совершенно новый тип".
Noodle RAT, которая также известна под прозвищами ANGRYREBEL и Nood RAT, выпускается как для Windows, так и для Linux и, как полагают, используется как минимум с июля 2016 года.
Вирус удаленного доступа "Noodle RAT" впервые появился в 2008 году, когда китайская группа угроз под названием C. Rufus Security Team опубликовала его исходный код в открытом доступе.
С годами вредоносное ПО – наряду с другими инструментами, такими как PlugX и ShadowPad – стало визитной карточкой китайских правительственных хакеров, которые использовали его в многочисленных кампаниях и атаках.
Версия Noodle RAT для Windows, модульного бэкдора в памяти, была использована такими хакерскими группами, как Iron Tiger и Calypso. Запускаемое через загрузчик благодаря основам шеллкода, оно поддерживает команды для загрузки файлов, запуска дополнительных типов вредоносных программ, функционирует как TCP-прокси и даже самоудаляется.
По крайней мере, два разных типа загрузчиков, а именно. MULTIDROP и MICROLOAD, на сегодняшний день были замечены в атаках, направленных на Таиланд и Индию соответственно.
Linux-аналог Noodle RAT, с другой стороны, использовался различными группами киберпреступности и шпионажа, связанными с Китаем, включая Rocke и Cloud Snooper.
Она способна запускать обратную оболочку, загружать файлы, планировать выполнение и инициировать туннелирование SOCKS, при этом атаки используют известные недостатки безопасности в общедоступных приложениях для взлома серверов Linux и отключения веб-оболочки для удаленного доступа и доставки вредоносного ПО.
Несмотря на различия в командах бэкдора, обе версии, как утверждается, используют идентичный код для командно-контрольной связи (C2) и схожие форматы конфигурации.
Дальнейший анализ артефактов Noodle RAT показывает, что, хотя вредоносное ПО повторно использует различные плагины, используемые Gh0st RAT, а некоторые части общего кода версии Linux перекрываются с Rekoobe, сам по себе бэкдор совершенно новый.
Компания Trend Micro заявила, что ей также удалось получить доступ к панели управления и сборщику, используемому для версии Linux от Noodle RAT, с примечаниями к выпуску, написанными на упрощенном китайском языке и содержащими подробную информацию об исправлениях ошибок и улучшениях, указывающих на то, что она, вероятно, разрабатывается, поддерживается и продается заинтересованным клиентам.
Эта гипотеза также подтверждается утечками I-Soon ранее в этом году, которые высветили обширную корпоративную сеть хакеров по найму, действующих за пределами Китая, и операционные и организационные связи между фирмами частного сектора и китайскими киберпреступниками, спонсируемыми государством.
Считается, что такие инструменты являются результатом сложной цепочки поставок в экосистеме кибершпионажа Китая, где они продаются и распространяются на коммерческой основе в частном секторе и государственных структурах, занимающихся вредоносной деятельностью, спонсируемой государством.
"Noodle RAT, скорее всего, распространяется (или продается) среди китайскоязычных групп", - сказал Хироаки. "Noodle RAT годами неправильно классифицировался и недооценивался".
Разработка происходит в связи с тем, что связанный с Китаем Mustang Panda (он же Fireant) был связан с фишинговой кампанией, направленной против вьетнамских организаций, использующих приманки на налоговую и образовательную тематику для доставки файлов быстрого доступа Windows (LNK), которые, вероятно, предназначены для развертывания вредоносного ПО PlugX.
