Não permita que a ameaça Noodle RAT tome conta do seu computador
Noodle RAT é um malware multiplataforma descoberto recentemente que tem sido usado por agentes de ameaças de língua chinesa para espionagem e crimes cibernéticos. Embora inicialmente tenha sido pensado como uma variante do Gh0st RAT e do Rekoobe, agora é reconhecido como um tipo distinto de malware.
Table of Contents
Antecedentes e Evolução
Identificado pela primeira vez em julho de 2016, o Noodle RAT, também conhecido como ANGRYREBEL ou Nood RAT, possui versões para sistemas Windows e Linux. O Gh0st RAT, que surgiu em 2008, tem sido uma marca registrada dos hackers do governo chinês. Ao longo dos anos, ferramentas como Gh0st RAT, PlugX e ShadowPad têm sido amplamente utilizadas em campanhas cibernéticas.
Variante do Windows
A versão Windows do Noodle RAT é um backdoor modular na memória, usado por grupos de hackers como Iron Tiger e Calypso. Ele é iniciado por meio de um carregador e suporta vários comandos, incluindo download/upload de arquivos, execução de malware adicional, atuação como proxy TCP e autoexclusão. Dois carregadores, MULTIDROP e MICROLOAD, foram observados em ataques na Tailândia e na Índia.
Variante Linux
A contraparte Linux do Noodle RAT é usada por diferentes grupos de crimes cibernéticos e espionagem ligados à China, incluindo Rocke e Cloud Snooper. Esta variante pode iniciar um shell reverso, fazer download/upload de arquivos, agendar execuções e iniciar o tunelamento SOCKS. Os ataques normalmente exploram falhas de segurança conhecidas em aplicativos públicos para violar servidores e implantar um web shell para acesso remoto.
Comunalidades e Comando e Controle
Apesar das diferenças em seus comandos, as versões Windows e Linux compartilham código idêntico para comunicações de comando e controle (C2) e formatos de configuração semelhantes. Análises mais aprofundadas mostram que, embora o Noodle RAT reutilize plug-ins do Gh0st RAT e compartilhe código com o Rekoobe, ele continua sendo um malware único.
Desenvolvimento e Distribuição
A pesquisa da Trend Micro revelou um painel de controle e construtor para a variante Linux do Noodle RAT, com notas de lançamento em chinês simplificado indicando desenvolvimento e manutenção ativos. O malware é provavelmente desenvolvido, mantido e vendido no âmbito de uma complexa cadeia de abastecimento no ecossistema de espionagem cibernética da China, envolvendo empresas do setor privado e intervenientes patrocinados pelo Estado.
Classificação incorreta e subestimação
Noodle RAT foi classificado incorretamente e subestimado durante anos. O grupo Mustang Panda, ligado à China, também foi vinculado a campanhas de spear-phishing direcionadas a entidades vietnamitas, usando arquivos LNK para implantar o malware PlugX.
Compreender e mitigar a ameaça representada pelo Noodle RAT é crucial para proteger os sistemas contra espionagem cibernética e crime. O reconhecimento das suas características distintas e da sofisticada cadeia de abastecimento por detrás da sua distribuição pode ajudar no desenvolvimento de estratégias de defesa eficazes.
