Um malware multiplataforma anteriormente não documentado com codinome Rato de macarrão tem sido usado por atores de ameaças de língua chinesa para espionagem ou crimes cibernéticos há anos.
Embora esse backdoor tenha sido anteriormente classificado como uma variante do Gh0st RAT e Rekoobe, o pesquisador de segurança da Development Micro, Hara Hiroaki, disse que “este backdoor não é apenas uma variante do malware existente, mas é um tipo totalmente novo”.
Noodle RAT, que também atende pelos nomes ANGRYREBEL e Nood RAT, vem nas versões Home windows e Linux e acredita-se que esteja em uso desde pelo menos julho de 2016.
O acesso remoto tran Gh0st RAT surgiu pela primeira vez em 2008, quando um grupo de ameaças da China chamado C. Rufus Safety Staff disponibilizou publicamente seu código-fonte.
Ao longo dos anos, o malware – juntamente com outras ferramentas como PlugX e ShadowPad – tornou-se uma marca registrada dos hackers do governo chinês, que o utilizaram em inúmeras campanhas e ataques.
A versão para Home windows do Noodle RAT, um backdoor modular na memória, foi usada por equipes de hackers como Iron Tiger e Calypso. Lançado por meio de um carregador devido às suas bases de shellcode, ele suporta comandos para baixar/carregar arquivos, executar tipos adicionais de malware, funcionar como um proxy TCP e até mesmo excluir a si mesmo.
Pelo menos dois tipos diferentes de carregadores, viz. MULTIDROP e MICROLOAD foram observados até o momento em ataques direcionados à Tailândia e à Índia, respectivamente.
A contraparte Linux do Noodle RAT, por outro lado, tem sido utilizada por diferentes grupos de crimes cibernéticos e espionagem ligados à China, incluindo Rocke e Cloud Snooper.
Ele está equipado para lançar um shell reverso, fazer obtain/add de arquivos, agendar execução e iniciar o tunelamento SOCKS, com os ataques aproveitando falhas de segurança conhecidas em aplicativos voltados ao público para violar servidores Linux e descartar um shell da net para acesso remoto e entrega de malware.
Apesar das diferenças nos comandos backdoor, ambas as versões compartilham código idêntico para comunicações de comando e controle (C2) e usam formatos de configuração semelhantes.
Uma análise mais aprofundada dos artefatos do Noodle RAT mostra que, embora o malware reutilize vários plug-ins usados pelo Gh0st RAT e algumas partes da versão Linux compartilhem código sobreposto ao Rekoobe, o backdoor em si é inteiramente novo.
A Development Micro disse que também conseguiu obter acesso a um painel de controle e construtor usado para a variante Linux do Noodle RAT com notas de lançamento escritas em chinês simplificado contendo detalhes sobre correções de bugs e melhorias, indicando que provavelmente é desenvolvido, mantido e vendido para clientes de interesse.
Esta hipótese também é reforçada pelas fugas de informação do I-Quickly no início deste ano, que destacaram um vasto cenário corporativo de hack-for-hire que opera a partir da China e os laços operacionais e organizacionais entre empresas do sector privado e intervenientes cibernéticos patrocinados pelo Estado chinês.
Acredita-se que tais ferramentas sejam o resultado de uma cadeia de abastecimento complexa dentro do ecossistema de espionagem cibernética da China, onde são vendidas e distribuídas numa base comercial no setor privado e em entidades governamentais envolvidas em atividades maliciosas patrocinadas pelo Estado.
“O Noodle RAT provavelmente é compartilhado (ou à venda) entre grupos de língua chinesa”, disse Hiroaki. “Noodle RAT foi classificado incorretamente e subestimado durante anos.”
O desenvolvimento ocorre no momento em que o Mustang Panda (também conhecido como Fireant), ligado à China, foi vinculado a uma campanha de spear-phishing direcionada a entidades vietnamitas usando iscas com temas fiscais e educacionais para fornecer arquivos de atalho do Home windows (LNK) projetados para provavelmente implantar o PlugX. malware.
