RATTO DI Noodle
Un nuovo malware multipiattaforma denominato Noodle RAT, precedentemente sconosciuto agli esperti di sicurezza, è stato utilizzato negli ultimi anni da autori di minacce di lingua cinese per scopi di spionaggio e criminalità informatica. Inizialmente pensato per essere una variante di Gh0st RAT e Rekoobe, i ricercatori ora confermano che Noodle RAT non è solo una modifica del malware esistente ma una minaccia completamente nuova. Funziona con alias come ANGRYREBEL e Nood RAT ed è compatibile sia con i sistemi Windows che con quelli Linux. Si sospetta che questo ceppo di malware sia attivo almeno da luglio 2016.
Sommario
Gli aggressori utilizzano le varianti Noodle RAT basate sui sistemi delle vittime
L'edizione Windows di Noodle RAT, una backdoor modulare che opera in memoria, è stata utilizzata da gruppi di hacker come Iron Tiger e Calypso. Viene attivato tramite un caricatore a causa della sua struttura basata su shellcode. Questo malware è in grado di eseguire vari comandi come scaricare/caricare file, eseguire altri ceppi di malware, agire come proxy TCP e autoeliminarsi. Due tipi distinti di caricatori, vale a dire MULTIDROP e MICROLOAD, sono stati identificati negli attacchi mirati rispettivamente alla Tailandia e all'India.
D’altro canto, la versione Linux del Noodle RAT è stata utilizzata da vari gruppi di criminalità informatica e spionaggio associati alla Cina, come Rocke e Cloud Snooper. Questa variante è in grado di avviare una shell inversa, gestire trasferimenti di file, pianificare attività e impostare un tunneling SOCKS. Questi attacchi sfruttano vulnerabilità note nelle applicazioni accessibili al pubblico per infiltrarsi nei server Linux, implementando una shell Web per l'accesso remoto e la distribuzione di malware.
Somiglianze tra le versioni Noodle RAT
Nonostante le differenze nei comandi backdoor, entrambe le versioni di Noodle RAT condividono lo stesso codice di comunicazione Command-and-Control (C2) e utilizzano formati di configurazione simili. Un ulteriore esame degli artefatti di Noodle RAT rivela che mentre il malware incorpora vari plugin utilizzati da Gh0st RAT e alcuni segmenti della versione Linux condividono somiglianze di codice con Rekoobe, la backdoor stessa è completamente nuova.
I ricercatori hanno anche ottenuto l'accesso a un pannello di controllo e a un builder utilizzato per la variante Linux del Noodle RAT. Le note di rilascio scritte in cinese semplificato dettagliano correzioni di bug e miglioramenti, suggerendo che probabilmente sarà sviluppato, mantenuto e venduto a clienti specifici.
Questa valutazione è rafforzata dalle fughe di notizie risalenti all’inizio del 2024, che fanno luce su un sostanziale ecosistema aziendale di hacking su commissione che opera dalla Cina. Queste fughe di notizie sottolineano le connessioni operative e organizzative tra entità del settore privato e attori informatici sponsorizzati dallo stato cinese.
Il Noodle RAT potrebbe essere sfruttato da diversi gruppi cinesi di criminalità informatica
Si ritiene che gli strumenti minacciosi provengano da una sofisticata catena di approvvigionamento all’interno della rete di spionaggio informatico cinese, dove vengono venduti e distribuiti commercialmente sia al settore privato che a enti governativi coinvolti in operazioni dannose sponsorizzate dallo stato. Il Noodle RAT è probabilmente diffuso o venduto tra i gruppi di lingua cinese. Dopotutto, è stato classificato erroneamente e sottovalutato per un lungo periodo.
