Noodle RAT: уникальный китайский бэкдор, нацеленный на Linux и Windows

leer en español

Noodle RAT: уникальный китайский бэкдор, нацеленный на Linux и Windows

Вредонос годами принимали за вариации других программ, но так ли прост данный шпионский софт?

image

Исследователи безопасности из компании Trend Micro недавно выявили новый тип вредоносного ПО под названием «Noodle RAT», которое хакерские группы, говорящие на китайском языке, активно используют для атак на Windows и Linux системы.

Хотя эта вредоносная программа активна как минимум с 2016 года, она лишь недавно была должным образом классифицирована, что пролило свет на её широкое использование как в шпионаже, так и в киберпреступности

Вредонос Noodle RAT, также известный как ANGRYREBEL или Nood RAT, представляет собой бэкдор, имеющий версии как для Windows (Win.NOODLERAT), так и для Linux (Linux.NOODLERAT).

Согласно данным исследователей, несмотря на свою долгую историю, Noodle RAT часто ошибочно классифицировали как варианты других вредоносных программ, таких как Gh0st RAT или Rekoobe. Тем не менее, недавние расследования подтвердили, что Noodle RAT представляет собой отдельное семейство вредоносного софта.

Версия Noodle RAT для Windows представляет собой модульный бэкдор, который запускается через загрузчик и поддерживает команды для загрузки и выгрузки файлов, выполнения других типов вредоносного ПО, работы в качестве TCP-прокси и самоуничтожения. Среди групп, использующих его, числятся Iron Tiger и Calypso. В атаках на Таиланд и Индию были замечены два типа загрузчиков: MULTIDROP и MICROLOAD.

Версия Noodle RAT для Linux используется киберпреступными и шпионскими группировками, связанными с Китаем, включая Rocke и Cloud Snooper. Данная версия оснащена функциями реверс-шелла, загрузки и выгрузки файлов, планирования задач и SOCKS-туннелирования. Атаки на Linux-серверы обычно проводятся с использованием известных уязвимостей в публичных приложениях для установки веб-шеллов и доставки вредоносного ПО.

Обе версии вредоносного ПО имеют идентичный код для командно-контрольных коммуникаций и используют схожие конфигурационные форматы. Хотя Noodle RAT использует различные плагины от Gh0st RAT и части кода от Rekoobe, сам бэкдор является абсолютно самодостаточным.

Экспертам Trend Micro удалось получить доступ к панели управления, а также конструктору вредоноса для версии Noodle RAT под Linux. Замеченные записи об исправлениях и улучшениях на упрощённом китайском языке указывают на то, что вредоносное ПО активно разрабатывается и продаётся заинтересованным клиентам.

Недавние утечки данных I-Soon показали, что в Китае существует обширная сцена корпоративных хакеров, работающих по заказу, что подтверждает гипотезу о сложной цепочке поставок в китайской кибершпионской экосистеме.

Исследователь Хара Хироаки отмечает, что Noodle RAT долгое время был недооценён и неправильно классифицирован, что наконец удалось исправить усилиями киберспециалистов Trend Micro.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь