Новое вредоносное ПО «Noodle RAT» нацелено на Windows и Linux

Новый межплатформенный вредоносный ПО под кодовым названием Noodle RAT нацелен на операционные системы Windows и Linux, сообщают исследователи безопасности. Этот ранее не документированный программный модуль был задействован китайскоязычными хакерами для кибершпионажа на протяжении нескольких лет.

«данная уязвимость не просто является вариантом существующего вредоносного ПО, а представляет собой совершенно новый тип вредоносного программного обеспечения».

Хара Хироаки

По словам исследователя по безопасности Trend Micro Хара Хироаки, «данная уязвимость не просто является вариантом существующего вредоносного ПО, а представляет собой совершенно новый тип вредоносного программного обеспечения». Noodle RAT, также известный под именами ANGRYREBEL и Nood RAT, нацелен на Windows и Linux и, предположительно, начал использоваться не позднее июля 2016 года.

Первоначально упомянутый как вариант Gh0st RAT и Rekoobe, вирус был впервые обнаружен в 2008 году в результате активности китайской хакерской группы под названием C. Rufus Security Team, которая сделала его исходный код общедоступным. За годы существования вредоносное ПО стало одним из знаковых инструментов хакеров, связанных с властями Китая, используемым в многочисленных атаках.

Версия Noodle RAT для Windows представляет собой модульную лазейку, работающую в оперативной памяти, и используется хакерскими группами, такими как Iron Tiger и Calypso. Он запускается через загрузчик на shellcode и поддерживает команды для скачивания/загрузки файлов, выполнения других видов вредоносного ПО, функционирования в качестве TCP-прокси и даже удаления себя.

В то время как Noodle RAT для Linux использовался различными киберпреступными и шпионскими группами, связанными с Китаем, включая Rocke и Cloud Snooper, он способен запускать обратную оболочку, скачивать/загружать файлы, планировать выполнение и инициировать туннелирование через протокол SOCKS. Атаки используют известные уязвимости в общедоступных приложениях для взлома Linux-серверов и установки веб-оболочки для удалённого доступа и доставки вредоносного ПО.

Несмотря на различия в командах, обе версии Noodle RAT используют идентичный код для командно-контрольных (C2) коммуникаций и имеют схожие форматы конфигурации. Дальнейший анализ артефактов Noodle RAT показывает, что, несмотря на повторное использование различных плагинов, используемых Gh0st RAT, и частичное совпадение кода с Linux-версией Rekoobe, уязвимость является совершенно новой.

Trend Micro также сообщает о доступе к панели управления и конструктору, используемым для Linux-варианта Noodle RAT, с релизными заметками на упрощённом китайском, содержащими информацию о исправлении ошибок и улучшениях, что указывает на его вероятное коммерческое использование.

Эти инструменты, вероятно, являются частью сложной цепочки поставок в кибершпионажной экосистеме Китая, где они распространяются и используются на коммерческой основе частными компаниями и государственными структурами, занимающимися злонамеренными действиями.

«Похоже, что Noodle RAT распространяется (или продается) среди китайских групп,» — отметил Хироаки. «Noodle RAT недооценивался и ошибочно классифицировался на протяжении многих лет.»

Этот развитие событий происходит в контексте того, что с активностью, связанной с Китаем, был связан Mustang Panda (также известный как Fireant), который был замечен в кампании spear-phishing, нацеленной на вьетнамские организации с использованием ложных документов налоговой и образовательной тематики для доставки файлов Windows Shortcut (LNK), предположительно, для развертывания вредоносного ПО PlugX.

Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.