Noodle RAT
Um novo malware de multiplataforma chamado Noodle RAT, até então desconhecido dos especialistas em segurança, tem sido utilizado por agentes de ameaças de língua chinesa para fins de espionagem e crimes cibernéticos nos últimos anos. Inicialmente considerado uma variante do Gh0st RAT e do Rekoobe, os pesquisadores agora confirmam que o Noodle RAT não é apenas uma modificação do malware existente, mas uma ameaça totalmente nova. Opera sob pseudônimos como ANGRYREBEL e Nood RAT e é compatível com sistemas Windows e Linux. Suspeita-se que esta cepa de malware esteja ativa desde pelo menos julho de 2016.
Índice
Os Invasores Implantam Variantes do Noodle RAT com Base nos Sistemas das Vítimas
A edição Windows do Noodle RAT, um backdoor modular que opera na memória, tem sido utilizada por grupos de hackers como Iron Tiger e Calypso. É ativado através de um carregador devido à sua estrutura baseada em shellcode. Este malware é capaz de executar vários comandos, como download/upload de arquivos, execução de outras variedades de malware, atuação como proxy TCP e autoexclusão. Dois tipos distintos de carregadores, nomeadamente MULTIDROP e MICROLOAD, foram identificados em ataques direcionados à Tailândia e à Índia, respectivamente.
Por outro lado, a versão Linux do Noodle RAT tem sido empregada por vários grupos de crimes cibernéticos e espionagem associados à China, como Rocke e Cloud Snooper. Esta variante é capaz de iniciar um shell reverso, gerenciar transferências de arquivos, agendar tarefas e configurar um tunelamento SOCKS. Esses ataques exploram vulnerabilidades conhecidas em aplicativos acessíveis ao público para se infiltrar em servidores Linux, implantando um Web shell para acesso remoto e distribuição de malware.
Semelhanças entre as Versões do Noodle RAT
Apesar das diferenças nos comandos backdoor, ambas as versões do Noodle RAT supostamente compartilham código de comunicação de Comando e Controle (C2) idêntico e usam formatos de configuração semelhantes. Um exame mais aprofundado dos artefatos do Noodle RAT revela que, embora o malware incorpore vários plug-ins usados pelo Gh0st RAT e alguns segmentos da versão Linux compartilhem semelhanças de código com o Rekoobe, o backdoor em si é inteiramente novo.
Os pesquisadores também obtiveram acesso a um painel de controle e construtor usado para a variante Linux do Noodle RAT. As notas de lançamento escritas em chinês simplificado detalham correções de bugs e melhorias, sugerindo que provavelmente é desenvolvido, mantido e vendido para clientes específicos.
Esta avaliação é reforçada por fugas de informação do início de 2024, que lançam luz sobre um substancial ecossistema corporativo de hack-for-hire que opera a partir da China. Estas fugas sublinham as ligações operacionais e organizacionais entre entidades do sector privado e intervenientes cibernéticos patrocinados pelo Estado chinês.
O Noodle RAT pode ser Explorado por Vários Grupos Chineses de Crimes Cibernéticos
Pensa-se que as ferramentas ameaçadoras provêm de uma cadeia de abastecimento sofisticada dentro da rede de espionagem cibernética da China, onde são vendidas e distribuídas comercialmente tanto ao sector privado como a entidades governamentais envolvidas em operações maliciosas patrocinadas pelo Estado. O Noodle RAT provavelmente circula ou é vendido entre grupos de língua chinesa. Afinal, foi mal classificado e subestimado por um longo período.
