Аналитический центр AhnLab Security Intelligence Center (ASEC) обнаружил, что Nood RAT, вариант Gh0st RAT, работающий в Linux, используется в атаках вредоносного ПО. Nood RAT - это вредоносная программа с бэкдором, которая может получать команды от C&C-сервера для выполнения вредоносных действий, таких как загрузка вредоносных файлов, кража внутренних файлов системы и выполнение команд. Несмотря на простоту формы, он оснащен функцией шифрования, чтобы избежать обнаружения сетевых пакетов.
Nood RAT разрабатывается с помощью конструктора, который позволяет злоумышленникам создавать бинарники x86 или x64 в зависимости от архитектуры, а также выбирать и использовать бинарники, подходящие для целевой системы. Вредоносная программа имеет функцию, которая изменяет свое имя, чтобы замаскироваться под легитимную программу. Злоумышленник может выбрать имя поддельного процесса на этапе разработки.
Indicators of Compromise
IPv4 Port Combinations
- 1.117.165.141:53
- 101.42.139.110:53
- 101.42.139.110:8443
- 13.214.222.35:443
- 194.36.191.75:443
- 42.51.40.184:56
- 43.140.251.218:8080
- 43.156.118.72:443
- 81.68.143.132:1234
- 81.68.143.132:8080
URLs
- http://b.niupilao.vip:80
- http://bo.appleupcheck.com:443
- http://check.snapupdate.org:80
- http://cloud.awsxtd.com:443
- http://update.kworker.net:443
MD5
- 035f83018cf96f5e1f6817ccd39fc0b6
- 0a35e06f53c17ab1c8e18e7e0c0821d8
- 35743db3dc333245ef5b69100721ced9
- 4f3afdcfff8f7994b7d3d3fbaa6858b4
- 75838e5d481da40db2e235a6d5a222ef
- 7d631e5b0c78805dd5d440cce788d25b
- 8457f71c6a5fe83bb513d1dfba99271a
- 905c2158fadfe31850766f010e149a0f
- 97db3f7676380f0baa3840ed5d5c1767
- a15ebd19cac42b0297858018da62b1be
- b4910e998cf58da452f8151b71c868cb
- c440bd814be37fac669567131c4ba996
- d9f00f71efabdfcca7c63d4b0805673c