Zorg ervoor dat de Noodle RAT-dreiging uw computer niet overneemt
Noodle RAT is een onlangs ontdekte, platformonafhankelijke malware die door Chineessprekende bedreigingsactoren wordt gebruikt voor zowel spionage als cybercriminaliteit. Hoewel aanvankelijk werd gedacht dat het een variant was van Gh0st RAT en Rekoobe, wordt het nu erkend als een apart type malware.
Table of Contents
Achtergrond en evolutie
Noodle RAT, ook bekend als ANGRYREBEL of Nood RAT, werd voor het eerst geïdentificeerd in juli 2016 en heeft versies voor zowel Windows- als Linux-systemen. Gh0st RAT, dat in 2008 opdook, is een kenmerk van hackers van de Chinese overheid. Door de jaren heen zijn tools als Gh0st RAT, PlugX en ShadowPad veelvuldig gebruikt in cybercampagnes.
Windows-variant
De Windows-versie van Noodle RAT is een modulaire achterdeur in het geheugen, gebruikt door hackgroepen als Iron Tiger en Calypso. Het wordt gestart via een lader en ondersteunt verschillende opdrachten, waaronder het downloaden/uploaden van bestanden, het uitvoeren van extra malware, het fungeren als TCP-proxy en zelfverwijdering. Er zijn twee laders, MULTIDROP en MICROLOAD, waargenomen bij aanvallen op Thailand en India.
Linux-variant
De Linux-tegenhanger van Noodle RAT wordt gebruikt door verschillende cybercriminaliteits- en spionagegroepen die banden hebben met China, waaronder Rocke en Cloud Snooper. Deze variant kan een omgekeerde shell starten, bestanden downloaden/uploaden, uitvoeringen plannen en SOCKS-tunneling initiëren. Aanvallen maken doorgaans gebruik van bekende beveiligingsfouten in openbare applicaties om servers binnen te dringen en een webshell in te zetten voor externe toegang.
Gemeenschappelijkheden en Command-and-Control
Ondanks verschillen in hun commando's delen zowel Windows- als Linux-versies identieke code voor command-and-control (C2) -communicatie en vergelijkbare configuratieformaten. Uit verdere analyse blijkt dat hoewel Noodle RAT plug-ins van Gh0st RAT hergebruikt en code deelt met Rekoobe, het een uniek stukje malware blijft.
Ontwikkeling en distributie
Uit het onderzoek van Trend Micro bleek een controlepaneel en bouwer voor de Linux-variant van Noodle RAT, met release-opmerkingen in Vereenvoudigd Chinees die actieve ontwikkeling en onderhoud aangeven. De malware wordt waarschijnlijk ontwikkeld, onderhouden en verkocht binnen een complexe toeleveringsketen in het Chinese cyberspionage-ecosysteem, waarbij bedrijven uit de particuliere sector en door de staat gesponsorde actoren betrokken zijn.
Misclassificatie en onderwaardering
Noodle RAT wordt al jaren verkeerd geclassificeerd en onderschat. De aan China gelieerde Mustang Panda-groep is ook in verband gebracht met spearphishing-campagnes gericht op Vietnamese entiteiten, waarbij LNK-bestanden worden gebruikt om de PlugX-malware in te zetten.
Het begrijpen en beperken van de dreiging die uitgaat van Noodle RAT is van cruciaal belang voor het beschermen van systemen tegen cyberspionage en misdaad. Het herkennen van de verschillende kenmerken ervan en de geavanceerde toeleveringsketen achter de distributie ervan kan helpen bij het ontwikkelen van effectieve defensiestrategieën.
