Поделиться
Новый кросс-платформенный троян бьет и по Windows, и по Linux
С 2016 г. китайские хакеры использовали вредоносную программу, которую специалисты по информационной безопасности ошибочно принимали за варианты двух других троянцев.
Лапша по-китайски
Ранее незадокументированный кроссплатформенный вредонос NoodleRAT атакует системы под Linux и Windows. По мнению исследователя, который его выявил, его создатели говорят по-китайски.
NoodleRAT перехватывали и ранее, но, как правило, принимали за разновидность Gh0st RAT или Rekoobe.
Однако эксперт Trend Micro Хара Хироаки (Hara Hiroaki) утверждает, что это не вариант уже известной вредоносной программы, а нечто совсем другое: вредонос нового типа.
По сведениям Хироаки, NoodleRAT - модульный троянец, функционирующий в памяти устройства, также фигурирует под названиями ANGRYREBEL и Nood RAT и используется самое позднее с 2016 г. То есть, восемь лет он не привлекал ничьего пристального внимания, поскольку считался разновидностью других вредоносов.
Windows-версия NoodleRAT использовали группировки Iron Tiger и Calypso. Для его запуска требуется сторонний загрузчик; к настоящему времени известны минимум два таких загрузчика - Multidrop и Microload. С их помощью Noodle RAT запускался против организаций в Таиланде и Индии.
После попадания в систему, Noodle RAT позволяет загружать и выгружать файлы, подгружать дополнительные вредоносы, а также выполнять функции TCP-прокси. Естественно, вредонос умеет и самоудаляться.
Что касается версии под Linux, то ею пользовались совсем другие (хотя тоже китайские) группировки: Rocke и Cloud Snooper.
NoodleRAT под Linux способен запускать обратный шелл, загружать и выгружать файлы, осуществлять запуск по расписанию, а также формировать SOCK-туннели. При атаках, как правило, эксплуатируются известные уязвимости в доступных извне веб-приложениях, которые позволяют проникать на серверы Linux и отгружать в них веб-шеллы для удалённого доступа и установки дополнительных вредоносов.
Несмотря на все различия, код обращения к контрольному серверу у них одинаковый. Формат настроек также очень похож.
Чужие плагины как фактор маскировки
Дальнейший анализ NoodleRAT показал, что он способен использовать различные плагины Gh0st RAT, а его Linux-версия содержит фрагменты кода Rekoobe, но в остальном вредонос - целиком и полностью новый.
Эксперты Trend Micro смогли добраться до контрольной панели Noodle RAT и компилятора Linux-варианта, в котором содержались примечания к релизу, написанные на упрощённом китайском. Эти примечания содержали подробности об исправлении ошибок и улучшении функциональности. Это даёт основания полагать, что вредонос разрабатывается на продажу.
Гипотеза о том, что NoodleRAT - это сугубо коммерческий продукт, дополнительно подтверждается эпизодом утечек в начале года, указывающим на то, что на территории Китая функционирует немало наёмнических хакерских группировок, атакующих иностранные предприятия за деньги. При этом у них есть связи и со спецслужбами КНР.
Экосистема кибершпионажа Китая имеет сложную схему поставщиков различных компонентов, в том числе, коммерческих. Они распространяются и в частном секторе, и среди хакеров, которые работают на спецслужбы и осуществляют атаки в интересах властей страны.
NoodleRAT, скорее всего, один из таких компонентов, который, по мнению Trend Micro, неверно классифицировали и, как следствие, недооценивали на протяжении многих лет.
«Использование кода других вредоносов, в свою очередь, указывает на то, что экосистема таких программ являет собой единое целое и что отдельные участники этого «рынка» активно взаимодействуют, и не так важно, на каких условиях», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ.
По мнению эксперта, наиболее значимы результаты такого сотрудничества. То, что эту программу долго принимали не за то, чем она является, значит куда больше, чем кажется на первый взгляд, подчеркнула эксперт.
Поделиться
Короткая ссылка
