Nudel RATTA
En ny plattformsoberoende skadlig kod vid namn Noodle RAT, tidigare okänd för säkerhetsexperter, har använts av kinesisktalande hotaktörer för spionage och cyberbrottslighet under de senaste åren. Ursprungligen tänkt att vara en variant av Gh0st RAT och Rekoobe, bekräftar forskare nu att Noodle RAT inte bara är en modifiering av befintlig skadlig programvara utan ett helt nytt hot. Den fungerar under alias som ANGRYREBEL och Nood RAT och är kompatibel med både Windows- och Linux-system. Denna skadliga stam misstänks ha varit aktiv sedan åtminstone juli 2016.
Innehållsförteckning
Angripare distribuerar nudel RAT-varianter baserade på offrens system
Windows-utgåvan av Noodle RAT, en modulär bakdörr som fungerar i minnet, har använts av hackergrupper som Iron Tiger och Calypso. Den aktiveras via en loader på grund av dess skalkodsbaserade struktur. Denna skadliga programvara kan utföra olika kommandon som att ladda ner/ladda upp filer, köra andra skadliga stammar, fungera som en TCP-proxy och självradering. Två distinkta lastartyper, nämligen MULTIDROP och MICROLOAD, har identifierats i attacker mot Thailand respektive Indien.
Å andra sidan har Linux-versionen av Noodle RAT använts av olika cyberbrotts- och spionagegrupper associerade med Kina, som Rocke och Cloud Snooper. Denna variant kan initiera ett omvänt skal, hantera filöverföringar, schemalägga uppgifter och ställa in en SOCKS-tunnling. Dessa attacker utnyttjar kända sårbarheter i offentligt tillgängliga applikationer för att infiltrera Linux-servrar, distribuera ett webbskal för fjärråtkomst och leverans av skadlig programvara.
Likheter mellan Noodle RAT-versionerna
Trots skillnader i bakdörrskommandon, delar båda versionerna av Noodle RAT enligt uppgift identisk Command-and-Control (C2) kommunikationskod och använder liknande konfigurationsformat. Ytterligare undersökning av Noodle RAT-artefakter avslöjar att även om skadlig programvara innehåller olika plugins som används av Gh0st RAT, och vissa segment av Linux-versionen delar kodlikheter med Rekoobe, är själva bakdörren helt ny.
Forskare har också fått tillgång till en kontrollpanel och byggare som används för Linux-varianten av Noodle RAT. Utgivningsnoteringar skrivna på förenklad kinesiska beskriver buggfixar och förbättringar, vilket tyder på att det troligen har utvecklats, underhållits och sålts till specifika kunder.
Denna bedömning förstärks av läckor från början av 2024, som kastar ljus över ett betydande företagshack-for-hire-ekosystem som verkar från Kina. Dessa läckor understryker de operativa och organisatoriska kopplingarna mellan enheter i den privata sektorn och kinesiska statligt sponsrade cyberaktörer.
Noodle RAT kan utnyttjas av flera kinesiska cyberbrottsgrupper
De hotande verktygen tros härröra från en sofistikerad försörjningskedja inom Kinas nätspionagenätverk, där de säljs kommersiellt och distribueras till både den privata sektorn och statliga enheter involverade i skadliga statligt sponsrade operationer. Noodle RAT cirkuleras eller säljs sannolikt bland kinesisktalande grupper. Det har trots allt varit felklassificerat och underskattat under en längre period.
