Um malware cross-platform anteriormente não documentado, codinome Noodle RAT, tem sido utilizado por atores de ameaças falantes de chinês, seja para espionagem ou cibercrime há anos.
Enquanto esse backdoor havia sido anteriormente categorizado como uma variante do Gh0st RAT e Rekoobe, o pesquisador de segurança da Trend Micro, Hara Hiroaki, disse que "esse backdoor não é simplesmente uma variante de malware existente, mas é um novo tipo por completo."
Noodle RAT, que também atende pelos codinomes ANGRYREBEL e Nood RAT, vem nas versões Windows e Linux, e acredita-se que tenha sido utilizado desde pelo menos julho de 2016.
O Gh0st RAT de acesso remoto apareceu pela primeira vez em 2008 quando um grupo de ameaça da China chamado C.
Rufus Security Team tornou seu código-fonte publicamente disponível.
Ao longo dos anos, o malware - junto com outras ferramentas como PlugX e ShadowPad - tornou-se uma marca registrada dos hackers do governo chinês, que o usaram em numerosas campanhas e ataques.
A versão Windows do Noodle RAT, um backdoor modular em memória, foi utilizada por equipes de hacking como Iron Tiger e Calypso.
Lançado via um loader devido às suas bases de shellcode, ele suporta comandos para baixar/enviar arquivos, executar tipos adicionais de malware, funcionar como um proxy TCP e até mesmo se auto-deletar.
Ao menos dois tipos diferentes de loaders, a saber, MULTIDROP e MICROLOAD, foram observados até agora em ataques direcionados à Tailândia e Índia, respectivamente.
O correspondente Linux do Noodle RAT, por outro lado, foi utilizado por diferentes clusters de cibercrimes e espionagem ligados à China, incluindo Rocke e Cloud Snooper.
Ele está equipado para lançar um reverse shell, baixar/enviar arquivos, agendar execução e iniciar o tunneling SOCKS, com os ataques explorando falhas de segurança conhecidas em aplicações públicas para violar servidores Linux e soltar um web shell para acesso remoto e entrega de malware.
Apesar das diferenças nos comandos do backdoor, ambas as versões são ditas compartilhar código idêntico para comunicações de command-and-control (C2) e usar formatos de configuração similares.
Análises adicionais dos artefatos do Noodle RAT mostram que, enquanto o malware reutiliza diversos plugins usados pelo Gh0st RAT e algumas partes da versão Linux compartilham sobreposições de código com Rekoobe, o backdoor em si é totalmente novo.
A Trend Micro disse que também conseguiu acessar um painel de controle e construtor usado para a variante Linux do Noodle RAT com notas de release escritas em Chinês Simplificado contendo detalhes sobre correções de bugs e melhorias, indicando que é provável que seja desenvolvido, mantido e vendido para clientes de interesse.
Esta hipótese também é fortalecida pelos vazamentos I-Soon no início deste ano, que destacaram um vasto cenário de hack-for-hire corporativo operando fora da China e os laços operacionais e organizacionais entre firmas do setor privado e atores cibernéticos patrocinados pelo estado chinês.
Acredita-se que tais ferramentas sejam o resultado de uma cadeia de suprimentos complexa dentro do ecossistema de espionagem cibernética da China, onde são vendidas e distribuídas de forma comercial entre o setor privado e entidades governamentais envolvidas em atividades maliciosas patrocinadas pelo estado.
"Noodle RAT provavelmente é compartilhado (ou está à venda) entre grupos de língua chinesa", disse Hiroaki.
O Noodle RAT foi mal classificado e subestimado por anos.
O desenvolvimento ocorre enquanto o grupo vinculado à China, Mustang Panda (também conhecido como Fireant), foi ligado a uma campanha de spear-phishing visando entidades vietnamitas usando iscas temáticas de impostos e educação para entregar arquivos de atalho do Windows (LNK) projetados para provavelmente implantar o malware PlugX.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...