Malware ataca Windows e Linux
13 de Junho de 2024

Um malware cross-platform anteriormente não documentado, codinome Noodle RAT, tem sido utilizado por atores de ameaças falantes de chinês, seja para espionagem ou cibercrime há anos.

Enquanto esse backdoor havia sido anteriormente categorizado como uma variante do Gh0st RAT e Rekoobe, o pesquisador de segurança da Trend Micro, Hara Hiroaki, disse que "esse backdoor não é simplesmente uma variante de malware existente, mas é um novo tipo por completo."

Noodle RAT, que também atende pelos codinomes ANGRYREBEL e Nood RAT, vem nas versões Windows e Linux, e acredita-se que tenha sido utilizado desde pelo menos julho de 2016.
O Gh0st RAT de acesso remoto apareceu pela primeira vez em 2008 quando um grupo de ameaça da China chamado C.

Rufus Security Team tornou seu código-fonte publicamente disponível.
Ao longo dos anos, o malware - junto com outras ferramentas como PlugX e ShadowPad - tornou-se uma marca registrada dos hackers do governo chinês, que o usaram em numerosas campanhas e ataques.

A versão Windows do Noodle RAT, um backdoor modular em memória, foi utilizada por equipes de hacking como Iron Tiger e Calypso.

Lançado via um loader devido às suas bases de shellcode, ele suporta comandos para baixar/enviar arquivos, executar tipos adicionais de malware, funcionar como um proxy TCP e até mesmo se auto-deletar.

Ao menos dois tipos diferentes de loaders, a saber, MULTIDROP e MICROLOAD, foram observados até agora em ataques direcionados à Tailândia e Índia, respectivamente.

O correspondente Linux do Noodle RAT, por outro lado, foi utilizado por diferentes clusters de cibercrimes e espionagem ligados à China, incluindo Rocke e Cloud Snooper.

Ele está equipado para lançar um reverse shell, baixar/enviar arquivos, agendar execução e iniciar o tunneling SOCKS, com os ataques explorando falhas de segurança conhecidas em aplicações públicas para violar servidores Linux e soltar um web shell para acesso remoto e entrega de malware.

Apesar das diferenças nos comandos do backdoor, ambas as versões são ditas compartilhar código idêntico para comunicações de command-and-control (C2) e usar formatos de configuração similares.
Análises adicionais dos artefatos do Noodle RAT mostram que, enquanto o malware reutiliza diversos plugins usados pelo Gh0st RAT e algumas partes da versão Linux compartilham sobreposições de código com Rekoobe, o backdoor em si é totalmente novo.

A Trend Micro disse que também conseguiu acessar um painel de controle e construtor usado para a variante Linux do Noodle RAT com notas de release escritas em Chinês Simplificado contendo detalhes sobre correções de bugs e melhorias, indicando que é provável que seja desenvolvido, mantido e vendido para clientes de interesse.

Esta hipótese também é fortalecida pelos vazamentos I-Soon no início deste ano, que destacaram um vasto cenário de hack-for-hire corporativo operando fora da China e os laços operacionais e organizacionais entre firmas do setor privado e atores cibernéticos patrocinados pelo estado chinês.

Acredita-se que tais ferramentas sejam o resultado de uma cadeia de suprimentos complexa dentro do ecossistema de espionagem cibernética da China, onde são vendidas e distribuídas de forma comercial entre o setor privado e entidades governamentais envolvidas em atividades maliciosas patrocinadas pelo estado.

"Noodle RAT provavelmente é compartilhado (ou está à venda) entre grupos de língua chinesa", disse Hiroaki.

O Noodle RAT foi mal classificado e subestimado por anos.

O desenvolvimento ocorre enquanto o grupo vinculado à China, Mustang Panda (também conhecido como Fireant), foi ligado a uma campanha de spear-phishing visando entidades vietnamitas usando iscas temáticas de impostos e educação para entregar arquivos de atalho do Windows (LNK) projetados para provavelmente implantar o malware PlugX.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...