Lassen Sie nicht zu, dass die Noodle RAT-Bedrohung Ihren Computer übernimmt
Noodle RAT ist eine kürzlich entdeckte, plattformübergreifende Malware, die von chinesischsprachigen Bedrohungsakteuren sowohl für Spionage als auch für Cyberkriminalität verwendet wurde. Während man zunächst davon ausging, dass es sich um eine Variante von Gh0st RAT und Rekoobe handelt, wird es mittlerweile als eigenständiger Malwaretyp anerkannt.
Table of Contents
Hintergrund und Entwicklung
Noodle RAT, auch bekannt als ANGRYREBEL oder Nood RAT, wurde erstmals im Juli 2016 entdeckt und ist sowohl für Windows- als auch für Linux-Systeme verfügbar. Gh0st RAT tauchte 2008 auf und ist ein Markenzeichen chinesischer Regierungshacker. Im Laufe der Jahre wurden Tools wie Gh0st RAT, PlugX und ShadowPad in großem Umfang in Cyber-Kampagnen eingesetzt.
Windows-Variante
Die Windows-Version von Noodle RAT ist eine modulare In-Memory-Hintertür, die von Hackergruppen wie Iron Tiger und Calypso verwendet wird. Sie wird über einen Loader gestartet und unterstützt verschiedene Befehle, darunter das Herunterladen/Hochladen von Dateien, das Ausführen zusätzlicher Malware, die Funktion als TCP-Proxy und die Selbstlöschung. Zwei Loader, MULTIDROP und MICROLOAD, wurden bei Angriffen auf Thailand und Indien beobachtet.
Linux-Variante
Das Linux-Gegenstück zu Noodle RAT wird von verschiedenen Cybercrime- und Spionagegruppen mit Verbindungen zu China verwendet, darunter Rocke und Cloud Snooper. Diese Variante kann eine Reverse Shell starten, Dateien herunterladen/hochladen, Ausführungen planen und SOCKS-Tunneling initiieren. Angriffe nutzen in der Regel bekannte Sicherheitslücken in öffentlich zugänglichen Anwendungen aus, um in Server einzudringen und eine Web-Shell für den Fernzugriff bereitzustellen.
Gemeinsamkeiten und Befehls- und Kontrollsystem
Trotz der Unterschiede in ihren Befehlen verwenden sowohl Windows- als auch Linux-Versionen den gleichen Code für Command-and-Control-Kommunikation (C2) und ähnliche Konfigurationsformate. Weitere Analysen zeigen, dass Noodle RAT zwar Plugins von Gh0st RAT wiederverwendet und Code mit Rekoobe teilt, aber dennoch ein einzigartiges Stück Malware bleibt.
Entwicklung und Vertrieb
Die Recherchen von Trend Micro ergaben ein Control Panel und einen Builder für die Linux-Variante von Noodle RAT, mit Versionshinweisen in vereinfachtem Chinesisch, die auf aktive Entwicklung und Wartung hinweisen. Die Malware wird wahrscheinlich innerhalb einer komplexen Lieferkette im Cyber-Spionage-Ökosystem Chinas entwickelt, gewartet und verkauft, an der sowohl private Unternehmen als auch staatlich geförderte Akteure beteiligt sind.
Fehlklassifizierung und Unterbewertung
Noodle RAT wurde jahrelang falsch klassifiziert und unterschätzt. Die mit China verbundene Mustang Panda-Gruppe wurde auch mit Spear-Phishing-Kampagnen in Verbindung gebracht, die auf vietnamesische Unternehmen abzielten und LNK-Dateien verwendeten, um die PlugX-Malware zu verbreiten.
Um Systeme vor Cyber-Spionage und -Kriminalität zu schützen, ist es entscheidend, die Bedrohung durch Noodle RAT zu verstehen und einzudämmen. Das Erkennen seiner besonderen Merkmale und der komplexen Lieferkette hinter seiner Verbreitung kann bei der Entwicklung effektiver Verteidigungsstrategien hilfreich sein.
