最近发现 Nood RAT 用于针对 Linux 服务器的恶意软件攻击，以窃取敏感信息。

Gh0st RAT 的 Linux 兼容变体称为 Nood RAT。适用于 Linux 的 Gh0st RAT 不断被获取，尽管其频率低于适用于 Windows 的 Gh0st RAT。

特别是，Nood RAT是一种后门恶意软件，可能会执行下载恶意文件、窃取内部系统文件、执行命令等恶意操作。

尽管其形式很简单，但它可能会接收来自威胁行为者的命令来执行各种有害操作。它配备了加密功能，可以逃避网络数据包识别。

您可以使用ANY.RUN 恶意软件沙箱和威胁情报查找来分析恶意软件文件、网络、模块和注册表活动，威胁情报查找可让您直接从浏览器与操作系统进行交互。

恶意软件的亮点
AhnLab 安全情报中心 (ASEC) 报告称，Nood RAT 的压缩文件包括一个名为“NoodMaker.exe”的构建程序、一份发行说明以及一个名为“Nood.exe”的后门控制程序。

威胁参与者在创建 NoodMaker 时可以根据架构选择并使用与目标系统匹配的 x86 或 x64 二进制文件。

Nood RAT 生成器

Nood RAT 的功能之一是可以将其冒充为真实的程序。威胁行为者可以在开发阶段选择恶意软件的虚假进程名称。

该恶意软件在首次启动时使用 RC4 算法来解密加密数据。解密后的该字符串包含必须修改的进程的名称。

“恶意软件解密的配置数据主要分为 C&C 服务器地址、激活日期和时间以及 C&C 连接尝试间隔。

威胁行为者可以设置该恶意软件可以与 C&C 服务器通信并接收命令的激活日期和时间”，ASEC 研究人员与《网络安全新闻》分享。

受感染系统的信息发送到C&C服务器

Nood RAT支持的四个主要功能是端口转发、Socks代理、远程shell、文件管理和远程shell。

威胁行为者可以利用它来上传和下载文件、在受感染的系统上执行恶意命令以及窃取数据。

由于其源代码向公众开放，威胁行为者继续在攻击中使用这些代码，恶意软件开发人员也一直在利用它来创建各种变体。

此前使用Nood RAT的攻击包括WebLogic漏洞攻击（CVE-2017-10271） 和2020年的Cloud Snooper APT攻击。

用户应始终将相关系统升级到最新版本，并检查其凭据或环境配置，以防止此类安全问题。

CyberXtron 披露了妥协指标 (IoC) 信息。

此外，V3需要更新到最新版本以避免恶意软件感染。

您可以使用Perimeter81 恶意软件防护来阻止恶意软件，包括特洛伊木马、勒索软件、间谍软件、rootkit、蠕虫和零日攻击。所有这些都极其有害，可能会造成严重破坏并损坏您的网络。

文章原文链接:https://www.anquanke.com/post/id/293471