Nudel RATTE
En ny skadelig programvare på tvers av plattformer kalt Noodle RAT, tidligere ukjent for sikkerhetseksperter, har blitt brukt av kinesisktalende trusselaktører til spionasje- og nettkriminalitetsformål de siste årene. Opprinnelig antatt å være en variant av Gh0st RAT og Rekoobe, bekrefter forskere nå at Noodle RAT ikke bare er en modifikasjon av eksisterende malware, men en helt ny trussel. Den opererer under aliaser som ANGRYREBEL og Nood RAT og er kompatibel med både Windows- og Linux-systemer. Denne malware-stammen mistenkes å ha vært aktiv siden minst juli 2016.
Innholdsfortegnelse
Angripere distribuerer Nudel RAT-varianter basert på ofrenes systemer
Windows-utgaven av Noodle RAT, en modulær bakdør som opererer i minnet, har blitt brukt av hackergrupper som Iron Tiger og Calypso. Den aktiveres gjennom en laster på grunn av dens shellcode-baserte struktur. Denne skadelige programvaren er i stand til å utføre ulike kommandoer som å laste ned/laste opp filer, kjøre andre skadevarestammer, fungere som en TCP-proxy og selvslette. To distinkte lastertyper, nemlig MULTIDROP og MICROLOAD, er identifisert i angrep rettet mot henholdsvis Thailand og India.
På baksiden har Linux-versjonen av Noodle RAT blitt brukt av forskjellige nettkriminalitets- og spionasjegrupper tilknyttet Kina, som Rocke og Cloud Snooper. Denne varianten er i stand til å starte et omvendt skall, administrere filoverføringer, planlegge oppgaver og sette opp en SOCKS-tunneling. Disse angrepene utnytter kjente sårbarheter i offentlig tilgjengelige applikasjoner for å infiltrere Linux-servere, og distribuerer et web-skall for ekstern tilgang og levering av skadelig programvare.
Likheter mellom Noodle RAT-versjonene
Til tross for forskjeller i bakdørskommandoer, deler begge versjonene av Noodle RAT angivelig identisk Command-and-Control (C2) kommunikasjonskode og bruker lignende konfigurasjonsformater. Ytterligere undersøkelse av Noodle RAT-artefakter avslører at selv om skadelig programvare inneholder forskjellige plugins som brukes av Gh0st RAT, og noen segmenter av Linux-versjonen deler kodelikheter med Rekoobe, er selve bakdøren helt ny.
Forskere har også fått tilgang til et kontrollpanel og bygger som brukes til Linux-varianten av Noodle RAT. Utgivelsesnotater skrevet på forenklet kinesisk beskriver feilrettinger og forbedringer, som antyder at det sannsynligvis er utviklet, vedlikeholdt og solgt til spesifikke kunder.
Denne vurderingen er forsterket av lekkasjer fra tidlig i 2024, som kaster lys over et betydelig bedriftshack-for-hire-økosystem som opererer fra Kina. Disse lekkasjene understreker de operasjonelle og organisatoriske forbindelsene mellom enheter i privat sektor og kinesiske statsstøttede cyberaktører.
Noodle RAT kan bli utnyttet av flere kinesiske nettkriminalitetsgrupper
De truende verktøyene antas å stamme fra en sofistikert forsyningskjede innenfor Kinas nettspionasjenettverk, hvor de selges kommersielt og distribueres til både privat sektor og statlige enheter involvert i ondsinnede statsstøttede operasjoner. Noodle RAT er sannsynligvis sirkulert eller solgt blant kinesisktalende grupper. Tross alt har det vært feilklassifisert og undervurdert i en lengre periode.
