不要让 Noodle RAT 威胁控制你的计算机

Noodle RAT 是一种最近发现的跨平台恶意软件，中文威胁者曾利用它进行间谍活动和网络犯罪。虽然它最初被认为是 Gh0st RAT 和 Rekoobe 的变种，但现在它被认为是一种独特的恶意软件。

背景与演变

Noodle RAT 于 2016 年 7 月首次被发现，又名 ANGRYREBEL 或 Nood RAT，有适用于 Windows 和 Linux 系统的版本。Gh0st RAT 于 2008 年出现，是中国政府黑客的标志性工具。多年来，Gh0st RAT、PlugX 和 ShadowPad 等工具已在网络活动中广泛使用。

Windows 版本

Noodle RAT 的 Windows 版本是一种内存模块化后门，被 Iron Tiger 和 Calypso 等黑客组织使用。它通过加载程序启动，支持各种命令，包括下载/上传文件、运行其他恶意软件、充当 TCP 代理和自我删除。在针对泰国和印度的攻击中，已经观察到两个加载程序 MULTIDROP 和 MICROLOAD。

Linux 版本

Noodle RAT 的 Linux 版本被与中国有关的不同网络犯罪和间谍组织使用，包括 Rocke 和 Cloud Snooper。此变体可以启动反向 shell、下载/上传文件、安排执行并启动 SOCKS 隧道。攻击通常利用面向公众的应用程序中已知的安全漏洞来破坏服务器并部署用于远程访问的 Web shell。

共性和命令与控制

尽管命令有所不同，但 Windows 和 Linux 版本都使用相同的命令和控制 (C2) 通信代码和类似的配置格式。进一步分析表明，虽然 Noodle RAT 重用了 Gh0st RAT 的插件并与 Rekoobe 共享代码，但它仍然是一个独特的恶意软件。

开发与分发

Trend Micro 的研究发现了 Noodle RAT Linux 变体的控制面板和构建器，简体中文的发布说明表明该恶意软件正在积极开发和维护。该恶意软件很可能是在中国网络间谍生态系统的复杂供应链中开发、维护和销售的，涉及私营企业和政府支持的行为者。

错误分类和低估

多年来，Noodle RAT 一直被错误分类且被低估。与中国有关的 Mustang Panda 组织还涉嫌针对越南实体的鱼叉式网络钓鱼活动，使用 LNK 文件部署 PlugX 恶意软件。

了解并减轻 Noodle RAT 带来的威胁对于保护系统免受网络间谍和犯罪侵害至关重要。了解其独特特征及其传播背后复杂的供应链有助于制定有效的防御策略。