Non permettere alla minaccia Noodle RAT di prendere il controllo del tuo computer
Noodle RAT è un malware multipiattaforma scoperto di recente che è stato utilizzato da autori di minacce di lingua cinese sia per lo spionaggio che per il crimine informatico. Sebbene inizialmente si pensasse che fosse una variante di Gh0st RAT e Rekoobe, ora è riconosciuto come un tipo di malware distinto.
Table of Contents
Contesto ed evoluzione
Identificato per la prima volta nel luglio 2016, Noodle RAT, noto anche come ANGRYREBEL o Nood RAT, ha versioni sia per sistemi Windows che Linux. Gh0st RAT, emerso nel 2008, è stato un segno distintivo degli hacker del governo cinese. Nel corso degli anni, strumenti come Gh0st RAT, PlugX e ShadowPad sono stati ampiamente utilizzati nelle campagne informatiche.
Variante di Windows
La versione Windows di Noodle RAT è una backdoor modulare in memoria, utilizzata da gruppi di hacker come Iron Tiger e Calypso. Viene avviato tramite un caricatore e supporta vari comandi, tra cui il download/caricamento di file, l'esecuzione di malware aggiuntivo, la funzione di proxy TCP e l'autoeliminazione. Due caricatori, MULTIDROP e MICROLOAD, sono stati osservati negli attacchi alla Tailandia e all'India.
Variante di Linux
La controparte Linux di Noodle RAT è utilizzata da diversi gruppi di criminalità informatica e spionaggio legati alla Cina, tra cui Rocke e Cloud Snooper. Questa variante può avviare una shell inversa, scaricare/caricare file, pianificare esecuzioni e avviare il tunneling SOCKS. Gli attacchi in genere sfruttano i difetti di sicurezza noti nelle applicazioni rivolte al pubblico per violare i server e implementare una shell web per l'accesso remoto.
Punti in comune e comando e controllo
Nonostante le differenze nei comandi, entrambe le versioni Windows e Linux condividono il codice identico per le comunicazioni di comando e controllo (C2) e formati di configurazione simili. Ulteriori analisi mostrano che sebbene Noodle RAT riutilizzi i plugin di Gh0st RAT e condivida il codice con Rekoobe, rimane un malware unico.
Sviluppo e distribuzione
La ricerca di Trend Micro ha rivelato un pannello di controllo e un builder per la variante Linux di Noodle RAT, con note di rilascio in cinese semplificato che indicano sviluppo e manutenzione attivi. Il malware è probabilmente sviluppato, mantenuto e venduto all’interno di una complessa catena di approvvigionamento nell’ecosistema dello spionaggio informatico cinese, che coinvolge aziende del settore privato e attori sponsorizzati dallo stato.
Classificazione errata e sottovalutazione
Noodle RAT è stato classificato erroneamente e sottovalutato per anni. Il gruppo Mustang Panda, legato alla Cina, è stato anche collegato a campagne di spear phishing contro entità vietnamite, utilizzando file LNK per distribuire il malware PlugX.
Comprendere e mitigare la minaccia rappresentata da Noodle RAT è fondamentale per proteggere i sistemi dallo spionaggio informatico e dalla criminalità. Riconoscere le sue caratteristiche distintive e la sofisticata catena di approvvigionamento dietro la sua distribuzione può aiutare a sviluppare strategie di difesa efficaci.
