不要讓 Noodle RAT 威脅接管您的計算機
Noodle RAT 是一種最近發現的跨平台惡意軟體,已被中文威脅行為者用於間諜活動和網路犯罪。雖然它最初被認為是 Gh0st RAT 和 Rekoobe 的變種,但現在它被認為是一種獨特類型的惡意軟體。
Table of Contents
背景與演變
Noodle RAT 於 2016 年 7 月首次發現,也稱為 ANGRYREBEL 或 Nood RAT,具有適用於 Windows 和 Linux 系統的版本。 Gh0st RAT 於 2008 年出現,一直是中國政府駭客的標誌。多年來,Gh0st RAT、PlugX 和 ShadowPad 等工具已廣泛用於網路活動。
Windows 變體
Windows 版本的 Noodle RAT 是一個記憶體中的模組化後門,被 Iron Tiger 和 Calypso 等駭客組織使用。它透過載入程式啟動並支援各種命令,包括下載/上傳檔案、運行其他惡意軟體、充當 TCP 代理和自刪除。在對泰國和印度的攻擊中觀察到了兩種裝載機 MULTIDROP 和 MICROLOAD。
Linux 變體
Noodle RAT 的 Linux 版本被與中國有關的不同網路犯罪和間諜組織所使用,其中包括 Rocke 和 Cloud Snooper。此變體可以啟動反向 shell、下載/上傳檔案、排程執行以及啟動 SOCKS 隧道。攻擊通常利用面向公眾的應用程式中的已知安全漏洞來破壞伺服器並部署 Web shell 進行遠端存取。
共通性和命令與控制
儘管命令存在差異,但 Windows 和 Linux 版本共享相同的命令與控制 (C2) 通訊代碼和類似的配置格式。進一步的分析表明,雖然 Noodle RAT 重複使用了 Gh0st RAT 的插件並與 Rekoobe 共享程式碼,但它仍然是一種獨特的惡意軟體。
開發與發行
趨勢科技的研究揭示了 Noodle RAT Linux 變體的控制面板和建構器,並附有簡體中文版本說明,表明正在積極開發和維護。該惡意軟體可能是在中國網路間諜生態系統的複雜供應鏈中開發、維護和銷售的,涉及私營部門公司和國家資助的行為者。
錯誤分類和低估
Noodle RAT 多年來一直被錯誤分類和低估。與中國有聯繫的 Mustang Panda 組織也與針對越南實體的魚叉式網路釣魚活動有關,利用 LNK 檔案部署 PlugX 惡意軟體。
了解並減輕 Noodle RAT 構成的威脅對於保護系統免受網路間諜和犯罪至關重要。認識到其獨特的特徵及其分銷背後的複雜供應鏈有助於制定有效的防禦策略。
