Ikke la nudelrotte-trusselen ta over datamaskinen din
Noodle RAT er en nylig oppdaget skadelig programvare på tvers av plattformer som har blitt brukt av kinesisktalende trusselaktører for både spionasje og nettkriminalitet. Selv om det opprinnelig ble antatt å være en variant av Gh0st RAT og Rekoobe, er det nå anerkjent som en distinkt type skadelig programvare.
Table of Contents
Bakgrunn og evolusjon
Først identifisert i juli 2016, Noodle RAT, også kjent som ANGRYREBEL eller Nood RAT, har versjoner for både Windows- og Linux-systemer. Gh0st RAT, som dukket opp i 2008, har vært et kjennetegn for kinesiske myndigheters hackere. Gjennom årene har verktøy som Gh0st RAT, PlugX og ShadowPad blitt brukt mye i cyberkampanjer.
Windows-variant
Windows-versjonen av Noodle RAT er en modulær bakdør i minnet, brukt av hackergrupper som Iron Tiger og Calypso. Den lanseres via en laster og støtter ulike kommandoer, inkludert nedlasting/opplasting av filer, kjøring av ytterligere skadelig programvare, fungerer som en TCP-proxy og selvsletting. To lastere, MULTIDROP og MICROLOAD, er observert i angrep på Thailand og India.
Linux-variant
Linux-motstykket til Noodle RAT brukes av forskjellige nettkriminalitets- og spionasjegrupper knyttet til Kina, inkludert Rocke og Cloud Snooper. Denne varianten kan starte et omvendt skall, laste ned/laste opp filer, planlegge kjøringer og starte SOCKS-tunneling. Angrep utnytter vanligvis kjente sikkerhetsfeil i offentlige applikasjoner for å bryte servere og distribuere et nettskall for ekstern tilgang.
Fellestrekk og Kommando-og-kontroll
Til tross for forskjeller i kommandoene deres, deler både Windows- og Linux-versjoner identisk kode for kommando-og-kontroll (C2) kommunikasjon og lignende konfigurasjonsformater. Ytterligere analyse viser at mens Noodle RAT gjenbruker plugins fra Gh0st RAT og deler kode med Rekoobe, forblir det et unikt stykke skadelig programvare.
Utvikling og distribusjon
Trend Micros forskning avslørte et kontrollpanel og en byggherre for Noodle RATs Linux-variant, med utgivelsesnotater på forenklet kinesisk som indikerer aktiv utvikling og vedlikehold. Skadevaren er sannsynligvis utviklet, vedlikeholdt og solgt innenfor en kompleks forsyningskjede i Kinas økosystem for nettspionasje, som involverer bedrifter i privat sektor og statsstøttede aktører.
Feilklassifisering og undervurdering
Noodle RAT har blitt feilklassifisert og undervurdert i årevis. Den Kina-tilknyttede Mustang Panda-gruppen har også blitt knyttet til spyd-phishing-kampanjer rettet mot vietnamesiske enheter, ved å bruke LNK-filer for å distribuere PlugX malware.
Å forstå og dempe trusselen fra Noodle RAT er avgjørende for å beskytte systemer mot cyberspionasje og kriminalitet. Å anerkjenne dens distinkte egenskaper og den sofistikerte forsyningskjeden bak distribusjonen kan hjelpe til med å utvikle effektive forsvarsstrategier.
