Noedel RAT
Een nieuwe platformonafhankelijke malware genaamd de Noodle RAT, voorheen onbekend bij beveiligingsexperts, is de afgelopen jaren door Chineessprekende bedreigingsactoren gebruikt voor spionage- en cybercriminaliteitsdoeleinden. Aanvankelijk werd gedacht dat het een variant was van de Gh0st RAT en Rekoobe, maar onderzoekers bevestigen nu dat de Noodle RAT niet alleen een aanpassing van bestaande malware is, maar een geheel nieuwe bedreiging. Het opereert onder aliassen als ANGRYREBEL en Nood RAT en is compatibel met zowel Windows- als Linux-systemen. Vermoed wordt dat deze malwaresoort al sinds juli 2016 actief is.
Inhoudsopgave
Aanvallers zetten de Noodle RAT-varianten in op basis van de systemen van slachtoffers
De Windows-editie van de Noodle RAT, een modulaire achterdeur die in het geheugen werkt, is gebruikt door hackergroepen zoals Iron Tiger en Calypso. Het wordt geactiveerd via een lader vanwege de op shellcode gebaseerde structuur. Deze malware kan verschillende opdrachten uitvoeren, zoals het downloaden/uploaden van bestanden, het uitvoeren van andere malwaresoorten, het optreden als TCP-proxy en het zichzelf verwijderen. Er zijn twee verschillende typen laders geïdentificeerd, namelijk MULTIDROP en MICROLOAD, bij aanvallen gericht op respectievelijk Thailand en India.
Aan de andere kant is de Linux-versie van de Noodle RAT gebruikt door verschillende cybercriminaliteits- en spionagegroepen die banden hebben met China, zoals Rocke en Cloud Snooper. Deze variant kan een reverse shell initiëren, bestandsoverdrachten beheren, taken plannen en een SOCKS-tunneling opzetten. Deze aanvallen maken gebruik van bekende kwetsbaarheden in openbaar toegankelijke applicaties om Linux-servers te infiltreren, waarbij een webshell wordt ingezet voor externe toegang en het afleveren van malware.
Overeenkomsten tussen de Noodle RAT-versies
Ondanks verschillen in achterdeurcommando's, delen beide versies van de Noodle RAT naar verluidt identieke Command-and-Control (C2) -communicatiecode en gebruiken ze vergelijkbare configuratieformaten. Uit verder onderzoek van Noodle RAT-artefacten blijkt dat, hoewel de malware verschillende plug-ins bevat die door Gh0st RAT worden gebruikt, en sommige segmenten van de Linux-versie code-overeenkomsten delen met Rekoobe, de achterdeur zelf geheel nieuw is.
Onderzoekers hebben ook toegang gekregen tot een controlepaneel en bouwer die worden gebruikt voor de Linux-variant van de Noodle RAT. Releaseopmerkingen geschreven in Vereenvoudigd Chinees bevatten gedetailleerde bugfixes en verbeteringen, wat erop wijst dat het waarschijnlijk is ontwikkeld, onderhouden en verkocht aan specifieke klanten.
Deze beoordeling wordt versterkt door lekken uit begin 2024, die licht werpen op een substantieel hack-for-hire-ecosysteem van bedrijven dat vanuit China opereert. Deze lekken onderstrepen de operationele en organisatorische verbindingen tussen entiteiten uit de particuliere sector en door de Chinese staat gesponsorde cyberactoren.
De Noodle RAT kan worden uitgebuit door meerdere Chinese cybercriminaliteitsgroepen
Er wordt aangenomen dat de bedreigende instrumenten voortkomen uit een geavanceerde toeleveringsketen binnen het Chinese cyberspionagenetwerk, waar ze commercieel worden verkocht en gedistribueerd onder zowel de particuliere sector als overheidsinstanties die betrokken zijn bij kwaadwillige, door de staat gesponsorde operaties. De Noodle RAT wordt waarschijnlijk verspreid of verkocht onder Chineessprekende groepen. Het is immers gedurende een langere periode verkeerd geclassificeerd en onderschat.
