Siber güvenlik uzmanları, Çince konuşan hacker gruplarının Linux sunucularını hedeflemek için kullandığı “Noodle RAT” adlı yeni bir kötü amaçlı yazılım türü tespit etti.
Bu kötü amaçlı yazılım 2016’dan beri aktif olmasına rağmen, yakın zamanda düzgün bir şekilde sınıflandırılarak hem casuslukta hem de siber suçlarda yaygın kullanımına ışık tutuyor.
Erişte RAT’ın Ortaya Çıkışı
ANGRYREBEL veya Nood RAT olarak da bilinen Noodle RAT, hem Windows (Win.NOODLERAT) hem de Linux (Linux.NOODLERAT) sürümleri olan bir arka kapı kötü amaçlı yazılımıdır.
TrendMicro bloguna göre, uzun geçmişine rağmen sıklıkla Gh0st RAT veya Rekoobe gibi diğer kötü amaçlı yazılımların varyantları olarak yanlış sınıflandırılıyordu.
Ancak son araştırmalar Noodle RAT’ın ayrı bir kötü amaçlı yazılım ailesi olduğunu doğruladı.
Noodle RAT’ın geliştirme ve dağıtımının zaman çizelgesi aşağıdaki gibidir:
- Temmuz 2016: Win.NOODLERAT için v1.0.0 derlendi.
- Aralık 2016: Linux.NOODLERAT için v1.0.1 derlendi.
- Nisan 2017: Linux.NOODLERAT için v1.0.1 güncellendi.
2018’den bu yana Noodle RAT’ı içeren saldırılar çok sayıda raporla belgelendi, ancak bu saldırılar sıklıkla diğer kötü amaçlı yazılım aileleri olarak yanlış tanımlanıyordu.
Analyze any MaliciousURL, Files & Emails & Configuration With ANY RUN : Start your Analysis
Özellikle Noodle RAT kullanan casusluk kampanyaları 2020’den bu yana Tayland, Hindistan, Japonya, Malezya ve Tayvan gibi ülkeleri hedef alıyor.
Erişte RAT’ın Teknik Detayları
Win.NOODLERAT
Win.NOODLERAT, kabuk koduyla oluşturulmuş bir bellek içi modüler arka kapıdır. Iron Tiger ve Calypso APT gibi gruplar bunu kullandı. Yetenekleri şunları içerir:
- Dosyaları indirme ve yükleme
- Ek bellek içi modülleri çalıştırma
- TCP proxy’si olarak çalışma
Kötü amaçlı yazılım, kurulum için MULTIDROP ve MICROLOAD gibi yükleyicileri kullanıyor ve C&C iletişimi için karmaşık şifreleme algoritmaları kullanıyor.
Linux.NOODLERAT
Noodle RAT’ın ELF versiyonu olan Linux.NOODLERAT, Rocke (Iron Cybercrime Group) ve Cloud Snooper Campaign gibi gruplar tarafından kullanılmaktadır. Yetenekleri şunları içerir:
- Ters kabuk
- Dosyaları indirme ve yükleme
- Yürütmenin zamanlanması
- SOCKS tünel açma
Kötü amaçlı yazılım genellikle halka açık uygulamalara yönelik bir istismarın ek yükü olarak dağıtılır ve C&C iletişimi için gelişmiş şifreleme algoritmaları kullanır.
Arka Kapı Komutları
Hem Win.NOODLERAT hem de Linux.NOODLERAT çeşitli arka kapı komutlarını uygular. Aşağıdaki tablo bu komutlardan bazılarını özetlemektedir:
| Hareketler | 0x03A2 yazın (Kazanma) | 0x132A yazın (Kazanma) | 0x03A2 yazın (Linux) | 0x23F8 yazın (Linux) |
| Başarıyla yetkilendirildi | 0x03A2 | 0x132A | 0x03A2 | 0x23F8 |
| C&C sunucusuna bir dosya yükleyin | 0x390A | 0x590A | 0x3 | 0x3 |
| Dizinleri yinelemeli olarak listele | 0x390A | 0x590A | 0x3 | 0x3 |
| C&C sunucusundan bir dosya indirin | 0x390A | 0x590A | 0x3 | 0x3 |
| Ters kabuk oturumunu başlat | Yok | Yok | 0x1 | 0x1 |
Diğer Kötü Amaçlı Yazılımlarla Benzerlikler
Noodle RAT, Gh0st RAT ve Rekoobe ile bazı benzerlikler taşıyor ancak yeni bir kötü amaçlı yazılım ailesi olarak sınıflandırılacak kadar farklı.
Örneğin Gh0st RAT’ın bazı eklentilerini kullansa da çekirdek arka kapı kodu farklıdır. Benzer şekilde Linux.NOODLERAT, Rekoobe v2018 ile bazı kodları paylaşır ancak kodunun geri kalanı benzersizdir.
Son bulgular, Noodle RAT için kontrol panellerini ve geliştiricileri ortaya çıkardı; bu da gelişmiş bir kötü amaçlı yazılım ekosistemine işaret ediyor.
Linux.NOODLERAT’ın “NoodLinux v1.0.1” adlı kontrol paneli, C&C protokolü için TCP ve HTTP’yi destekler ve açılması için bir parola gerektirir.
Linux.NOODLERAT için geliştiriciler, v1.0.1 ve v1.0.2 sürümleri, kötü amaçlı yazılım için özel yapılandırmalar oluşturmaya yardımcı olur.
Noodle RAT yıllardır yanlış sınıflandırılmış ve küçümsenmiştir.
Yeteneklerine ve kullanımına ilişkin bu yeni anlayış, özellikle Linux/Unix sistemleri için siber güvenlik konusunda dikkatli olunması ihtiyacını vurgulamaktadır.
Kamuya açık uygulamalara karşı istismar arttıkça Noodle RAT, tehdit aktörleri için güçlü bir araç olmaya devam ediyor ve siber güvenlik profesyonellerinin bilgili ve hazırlıklı kalmasını zorunlu kılıyor.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo