Noodle RAT: Egy új, kínai kiberbűnözők által használt, platformokon átívelő rosszindulatú szoftver

A Noodle RAT, egy korábban nem dokumentált, keresztplatformos rosszindulatú szoftver, amelyet a kínai nyelvű fenyegető szereplők legalább 2016 júliusa óta használnak kémkedésre és kiberbűnözésre. A kezdetben a Gh0st RAT és a Rekoobe változataival összetévesztett Noodle RAT egy egyedi kártevő, amelynek különálló Windows és Linux változatai vannak. A Windows-változatot, egy memórián belüli moduláris hátsó ajtót olyan csoportok telepítették, mint az Iron Tiger és a Calypso, amely támogatja a fájlműveletekre, a rosszindulatú programok végrehajtására és az önmegsemmisítésre vonatkozó parancsokat. A Linux változatot olyan csoportok használták, mint a Rocke és a Cloud Snooper, amely lehetővé teszi reverse shellek nyitását, fájlműveleteket és SOCKS alagutat.

A Noodle RAT mindkét verziója azonos parancs- és vezérlő (C2) kommunikációs kódot és hasonló konfigurációs formátumokat használ, az eltérő funkcionalitásuk ellenére. A Trend Micro elemzése feltárta, hogy a kártevő a Gh0st RAT pluginjait használja, és a kód átfedéseket mutat a Rekoobe-val, így a Noodle RAT egy teljesen új hátsó ajtónak tekinthető. A Linux-változat egyszerűsített kínai nyelven írt vezérlőpanelje és buildere arra utal, hogy a fejlesztés és értékesítés a kínai kiberkémkedési ökoszisztémán belül történt. Ez összhangban van az I-Soon kiszivárogtatásokkal, amelyek a magánszektorbeli cégek és a kínai állam által támogatott kiberszereplők együttműködését fedték fel egy vállalati hack-for-hire rendszerben. A Noodle RAT-ot tehát évek óta jelentősen félreminősítették és alulértékelték.

(forrás)

(forrás)