麵條鼠

安全專家以前不知道一種名為 Noodle RAT 的新型跨平台惡意軟體，在過去幾年中已被中文威脅行為者用於間諜和網路犯罪目的。研究人員最初認為 Noodle RAT 是Gh0st RAT和 Rekoobe 的變種，現在證實 Noodle RAT 不僅僅是現有惡意軟體的修改版，而且是一種全新的威脅。它以 ANGRYREBEL 和 Nood RAT 等別名運行，並且與 Windows 和 Linux 系統相容。該惡意軟體菌株被懷疑至少自 2016 年 7 月起就一直活躍。

攻擊者根據受害者的系統部署 Noodle RAT 變種

Windows 版本的 Noodle RAT 是一種在記憶體中運行的模組化後門，已被 Iron Tiger 和 Calypso 等駭客組織所利用。由於其基於 shellcode 的結構，它是透過載入程式啟動的。該惡意軟體能夠執行各種命令，例如下載/上傳檔案、運行其他惡意軟體菌株、充當 TCP 代理和自刪除。在針對泰國和印度的攻擊中分別發現了兩種不同的載入程式類型，即 MULTIDROP 和 MICROLOAD。

另一方面，Linux 版本的 Noodle RAT 已被各種與中國有關的網路犯罪和間諜組織使用，例如 Rocke 和 Cloud Snooper。此變體能夠啟動反向 shell、管理檔案傳輸、規劃任務以及設定 SOCKS 隧道。這些攻擊利用可公開存取的應用程式中的已知漏洞滲透 Linux 伺服器，部署 Web shell 進行遠端存取和惡意軟體傳播。

Noodle RAT 版本之間的相似之處

儘管後門命令存在差異，但據報導，兩個版本的 Noodle RAT 共享相同的命令與控制 (C2) 通訊代碼，並使用相似的配置格式。對 Noodle RAT 工件的進一步檢查表明，雖然該惡意軟體包含了 Gh0st RAT 使用的各種插件，並且 Linux 版本的某些部分與 Rekoobe 具有相似的程式碼，但後門本身是全新的。

研究人員還獲得了用於 Noodle RAT Linux 變體的控制面板和建構器的存取權限。用簡體中文編寫的發行說明詳細介紹了錯誤修復和改進，表明它可能是開發、維護並出售給特定客戶的。

2024 年初的洩密事件進一步證實了這項評估，揭示了中國營運的大量企業僱用駭客生態系統。這些洩密事件凸顯了私部門實體與中國國家支持的網路參與者之間的運作和組織連結。

Noodle RAT 可能被多個中國網路犯罪組織利用

這些威脅工具被認為源自中國網路間諜網路內複雜的供應鏈，這些工具被商業銷售並分發給參與國家資助的惡意行動的私營部門和政府實體。 Noodle RAT 很可能在華語群體中流通或出售。畢竟，它在很長一段時間內被錯誤分類和低估。