Ne laissez pas la menace Noodle RAT prendre le contrôle de votre ordinateur
Noodle RAT est un malware multiplateforme récemment découvert qui a été utilisé par des acteurs malveillants parlant chinois à des fins d'espionnage et de cybercriminalité. Alors qu’on pensait initialement qu’il s’agissait d’une variante de Gh0st RAT et Rekoobe, il est désormais reconnu comme un type distinct de malware.
Table of Contents
Contexte et évolution
Identifié pour la première fois en juillet 2016, Noodle RAT, également connu sous le nom d'ANGRYREBEL ou Nood RAT, propose des versions pour les systèmes Windows et Linux. Gh0st RAT, apparu en 2008, est une marque distinctive des pirates informatiques du gouvernement chinois. Au fil des années, des outils tels que Gh0st RAT, PlugX et ShadowPad ont été largement utilisés dans les cyber-campagnes.
Variante Windows
La version Windows de Noodle RAT est une porte dérobée modulaire en mémoire, utilisée par des groupes de piratage comme Iron Tiger et Calypso. Il est lancé via un chargeur et prend en charge diverses commandes, notamment le téléchargement/téléchargement de fichiers, l'exécution de logiciels malveillants supplémentaires, le rôle de proxy TCP et l'auto-suppression. Deux chargeurs, MULTIDROP et MICROLOAD, ont été observés lors d'attaques en Thaïlande et en Inde.
Variante Linux
L'équivalent Linux de Noodle RAT est utilisé par différents groupes de cybercriminalité et d'espionnage liés à la Chine, dont Rocke et Cloud Snooper. Cette variante peut lancer un shell inversé, télécharger/télécharger des fichiers, planifier des exécutions et lancer le tunneling SOCKS. Les attaques exploitent généralement les failles de sécurité connues dans les applications publiques pour pirater les serveurs et déployer un shell Web pour un accès à distance.
Points communs et commandement et contrôle
Malgré les différences dans leurs commandes, les versions Windows et Linux partagent un code identique pour les communications de commande et de contrôle (C2) et des formats de configuration similaires. Une analyse plus approfondie montre que même si Noodle RAT réutilise les plugins de Gh0st RAT et partage le code avec Rekoobe, il reste un malware unique.
Développement et distribution
Les recherches de Trend Micro ont révélé un panneau de contrôle et un constructeur pour la variante Linux de Noodle RAT, avec des notes de version en chinois simplifié indiquant un développement et une maintenance actifs. Le logiciel malveillant est probablement développé, entretenu et vendu au sein d'une chaîne d'approvisionnement complexe au sein de l'écosystème de cyberespionnage chinois, impliquant des entreprises du secteur privé et des acteurs parrainés par l'État.
Erreur de classification et sous-estimation
Noodle RAT a été mal classé et sous-estimé depuis des années. Le groupe Mustang Panda, lié à la Chine, a également été associé à des campagnes de spear phishing ciblant des entités vietnamiennes, utilisant des fichiers LNK pour déployer le malware PlugX.
Comprendre et atténuer la menace posée par Noodle RAT est crucial pour protéger les systèmes contre le cyberespionnage et la criminalité. Reconnaître ses caractéristiques distinctes et la chaîne d’approvisionnement sophistiquée derrière sa distribution peut aider à développer des stratégies de défense efficaces.
