Låt inte nudelråtta-hotet ta över din dator
Noodle RAT är en nyligen upptäckt, plattformsoberoende skadlig kod som har använts av kinesisktalande hotaktörer för både spionage och cyberbrottslighet. Även om det från början ansågs vara en variant av Gh0st RAT och Rekoobe, är det nu erkänt som en distinkt typ av skadlig programvara.
Table of Contents
Bakgrund och evolution
Noodle RAT, även känd som ANGRYREBEL eller Nood RAT, identifierades först i juli 2016, och har versioner för både Windows- och Linux-system. Gh0st RAT, som dök upp 2008, har varit ett kännetecken för kinesiska myndigheters hackare. Under åren har verktyg som Gh0st RAT, PlugX och ShadowPad använts flitigt i cyberkampanjer.
Windows-variant
Windows-versionen av Noodle RAT är en modulär bakdörr i minnet, som används av hackningsgrupper som Iron Tiger och Calypso. Den startas via en laddare och stöder olika kommandon, inklusive nedladdning/uppladdning av filer, körning av ytterligare skadlig programvara, fungerar som en TCP-proxy och självradering. Två lastare, MULTIDROP och MICROLOAD, har observerats i attacker mot Thailand och Indien.
Linux-variant
Linux-motsvarigheten till Noodle RAT används av olika cyberbrotts- och spionagegrupper kopplade till Kina, inklusive Rocke och Cloud Snooper. Denna variant kan starta ett omvänt skal, ladda ner/ladda upp filer, schemalägga körningar och initiera SOCKS-tunnling. Attacker utnyttjar vanligtvis kända säkerhetsbrister i applikationer som riktar sig till allmänheten för att bryta mot servrar och distribuera ett webbskal för fjärråtkomst.
Gemensamt och Kommando-och-kontroll
Trots skillnader i deras kommandon delar både Windows- och Linux-versioner identisk kod för kommando-och-kontroll-kommunikation (C2) och liknande konfigurationsformat. Ytterligare analys visar att medan Noodle RAT återanvänder plugins från Gh0st RAT och delar kod med Rekoobe, förblir det en unik del av skadlig programvara.
Utveckling och distribution
Trend Micros forskning avslöjade en kontrollpanel och byggare för Noodle RAT:s Linux-variant, med releasenotes på förenklad kinesiska som indikerar aktiv utveckling och underhåll. Skadlig programvara utvecklas, underhålls och säljs sannolikt inom en komplex försörjningskedja i Kinas ekosystem för cyberspionage, som involverar privata företag och statligt sponsrade aktörer.
Felklassificering och underskattning
Noodle RAT har felklassificerats och underskattats i flera år. Den Kina-länkade Mustang Panda-gruppen har också kopplats till spjutfiskekampanjer riktade mot vietnamesiska enheter, med hjälp av LNK-filer för att distribuera PlugX malware.
Att förstå och mildra hotet från Noodle RAT är avgörande för att skydda system från cyberspionage och brottslighet. Att erkänna dess distinkta egenskaper och den sofistikerade leveranskedjan bakom dess distribution kan hjälpa till att utveckla effektiva försvarsstrategier.
