Tillad ikke Nudel-RAT-truslen at overtage din computer
Noodle RAT er en nyligt opdaget, cross-platform malware, der er blevet brugt af kinesisktalende trusselsaktører til både spionage og cyberkriminalitet. Selvom det oprindeligt blev anset for at være en variant af Gh0st RAT og Rekoobe, er det nu anerkendt som en særskilt type malware.
Table of Contents
Baggrund og evolution
Først identificeret i juli 2016, Noodle RAT, også kendt som ANGRYREBEL eller Nood RAT, har versioner til både Windows- og Linux-systemer. Gh0st RAT, som dukkede op i 2008, har været et kendetegn for kinesiske regeringshackere. Gennem årene er værktøjer som Gh0st RAT, PlugX og ShadowPad blevet brugt flittigt i cyberkampagner.
Windows-variant
Windows-versionen af Noodle RAT er en modulær bagdør i hukommelsen, der bruges af hackergrupper som Iron Tiger og Calypso. Den lanceres via en loader og understøtter forskellige kommandoer, herunder download/upload af filer, kørsel af yderligere malware, fungerer som en TCP-proxy og selvsletning. To læssemaskiner, MULTIDROP og MICROLOAD, er blevet observeret i angreb på Thailand og Indien.
Linux variant
Linux-modstykket til Noodle RAT bruges af forskellige cyberkriminalitets- og spionagegrupper knyttet til Kina, herunder Rocke og Cloud Snooper. Denne variant kan starte en omvendt shell, downloade/uploade filer, planlægge eksekveringer og starte SOCKS-tunneling. Angreb udnytter typisk kendte sikkerhedsfejl i offentlige applikationer til at bryde servere og implementere en web-shell til fjernadgang.
Fællestræk og Command-and-Control
På trods af forskelle i deres kommandoer deler både Windows- og Linux-versioner identisk kode til kommando-og-kontrol-kommunikation (C2) og lignende konfigurationsformater. Yderligere analyse viser, at mens Noodle RAT genbruger plugins fra Gh0st RAT og deler kode med Rekoobe, forbliver det et unikt stykke malware.
Udvikling og distribution
Trend Micros forskning afslørede et kontrolpanel og en builder til Noodle RATs Linux-variant, med udgivelsesbemærkninger på forenklet kinesisk, der indikerer aktiv udvikling og vedligeholdelse. Malwaren er sandsynligvis udviklet, vedligeholdt og solgt i en kompleks forsyningskæde i Kinas cyberspionage-økosystem, der involverer virksomheder i den private sektor og statssponsorerede aktører.
Fejlklassificering og undervurdering
Noodle RAT er blevet fejlklassificeret og undervurderet i årevis. Den Kina-tilknyttede Mustang Panda-gruppe er også blevet forbundet med spear-phishing-kampagner rettet mod vietnamesiske enheder, ved at bruge LNK-filer til at implementere PlugX-malwaren.
At forstå og afbøde truslen fra Noodle RAT er afgørende for at beskytte systemer mod cyberspionage og kriminalitet. At anerkende dets særskilte karakteristika og den sofistikerede forsyningskæde bag dens distribution kan hjælpe med at udvikle effektive forsvarsstrategier.
