Nudel RAT
En ny malware på tværs af platforme ved navn Noodle RAT, som tidligere var ukendt for sikkerhedseksperter, er blevet brugt af kinesisktalende trusselsaktører til spionage- og cyberkriminalitetsformål i løbet af de sidste par år. Oprindeligt anset for at være en variant af Gh0st RAT og Rekoobe, bekræfter forskere nu, at Noodle RAT ikke kun er en modifikation af eksisterende malware, men en helt ny trussel. Den fungerer under aliaser som ANGRYREBEL og Nood RAT og er kompatibel med både Windows- og Linux-systemer. Denne malware-stamme mistænkes for at have været aktiv siden mindst juli 2016.
Indholdsfortegnelse
Angribere implementerer Noodle RAT-varianterne baseret på ofrenes systemer
Windows-udgaven af Noodle RAT, en modulær bagdør, der fungerer i hukommelsen, er blevet brugt af hackergrupper som Iron Tiger og Calypso. Den aktiveres gennem en loader på grund af dens shellcode-baserede struktur. Denne malware er i stand til at udføre forskellige kommandoer som at downloade/uploade filer, køre andre malware-stammer, fungere som en TCP-proxy og selvslette. To forskellige læssertyper, nemlig MULTIDROP og MICROLOAD, er blevet identificeret i angreb rettet mod henholdsvis Thailand og Indien.
På bagsiden er Linux-versionen af Noodle RAT blevet brugt af forskellige cyberkriminalitets- og spionagegrupper tilknyttet Kina, såsom Rocke og Cloud Snooper. Denne variant er i stand til at starte en omvendt shell, administrere filoverførsler, planlægge opgaver og opsætte en SOCKS-tunneling. Disse angreb udnytter kendte sårbarheder i offentligt tilgængelige applikationer til at infiltrere Linux-servere ved at implementere en web-shell til fjernadgang og levering af malware.
Ligheder mellem Noodle RAT-versionerne
På trods af forskelle i bagdørskommandoer deler begge versioner af Noodle RAT angiveligt identisk Command-and-Control (C2) kommunikationskode og bruger lignende konfigurationsformater. Yderligere undersøgelse af Noodle RAT-artefakter afslører, at selvom malwaren inkorporerer forskellige plugins, der bruges af Gh0st RAT, og nogle segmenter af Linux-versionen deler kodeligheder med Rekoobe, er selve bagdøren helt ny.
Forskere har også fået adgang til et kontrolpanel og en builder, der bruges til Linux-varianten af Noodle RAT. Udgivelsesbemærkninger skrevet på forenklet kinesisk detaljerer fejlrettelser og forbedringer, hvilket tyder på, at det sandsynligvis er udviklet, vedligeholdt og solgt til specifikke kunder.
Denne vurdering forstærkes af lækager fra begyndelsen af 2024, der kaster lys over et betydeligt virksomhedshack-for-hire-økosystem, der opererer fra Kina. Disse lækager understreger de operationelle og organisatoriske forbindelser mellem enheder i den private sektor og kinesiske statssponserede cyberaktører.
Noodle RAT kan blive udnyttet af flere kinesiske cyberkriminalitetsgrupper
De truende værktøjer menes at stamme fra en sofistikeret forsyningskæde inden for Kinas cyberspionagenetværk, hvor de sælges kommercielt og distribueres til både den private sektor og offentlige enheder, der er involveret i ondsindede statssponsorerede operationer. Noodle RAT er sandsynligvis cirkuleret eller solgt blandt kinesisk-talende grupper. Det har jo været fejlklassificeret og undervurderet i en længere periode.
