El nuevo malware multiplataforma ‘Noodle RAT’ apunta a sistemas Windows y Linux


13 de junio de 2024Redacción Ciberataque/Malware

El malware multiplataforma no documentado anteriormente, cuyo nombre en código es Noodle RAT, ha sido utilizado por actores de amenazas de habla china para espionaje y cibercrimen durante años.

Esta puerta trasera se clasificó anteriormente como una variante de Gh0st RAT y Rekoobe, pero el investigador de seguridad de Trend Micro, Hiroaki Hara, dijo: “Esta puerta trasera no es sólo una variante del malware existente, sino un tipo de malware completamente nuevo”.

Noodle RAT, también conocido como ANGRYREBEL y Nood RAT, está disponible en versiones de Windows y Linux y se cree que ha estado en uso desde al menos julio de 2016.

El troyano de acceso remoto Gh0st RAT apareció por primera vez en 2008, cuando un grupo de amenazas chino llamado C. Rufus Security Team hizo público su código fuente.

A lo largo de los años, este malware se ha convertido en una herramienta característica de los piratas informáticos del gobierno chino, junto con otras herramientas como PlugX y ShadowPad, y se ha utilizado en numerosas campañas y ataques.

La versión para Windows de Noodle RAT, una puerta trasera modular en memoria, es utilizada por grupos de hackers como Iron Tiger y Calypso. Debido a que está basado en shellcode, se inicia a través de un cargador y admite comandos para descargar/cargar archivos, ejecutar tipos adicionales de malware, actuar como un proxy TCP e incluso eliminarse a sí mismo.

Hasta la fecha, se han observado al menos dos cargadores diferentes en ataques dirigidos a Tailandia e India: MULTIDROP y MICROLOAD, respectivamente.

Mientras tanto, la versión Linux de Noodle RAT ha sido utilizada por varios grupos de espionaje y cibercrimen vinculados a China, incluidos Rocke y Cloud Snooper.

Esta herramienta tiene capacidades como iniciar un shell inverso, descargar/cargar archivos, programar la ejecución e iniciar un túnel SOCKS, y los ataques aprovechan fallas de seguridad conocidas en las aplicaciones publicadas para comprometer los servidores Linux y soltar un shell web para acceso remoto y entrega de malware.

Aunque los comandos de puerta trasera son diferentes, ambas versiones supuestamente comparten el mismo código para las comunicaciones de comando y control (C2) y usan un formato de configuración similar.

Un análisis más detallado del artefacto Noodle RAT revela que el malware reutiliza varios complementos utilizados por Gh0st RAT, y aunque parte del código en la versión de Linux se superpone con Rekoobe, la puerta trasera en sí es completamente nueva.

Trend Micro también dijo que tenía acceso al panel de control y al generador utilizados para la versión Linux de Noodle RAT, y las notas de la versión están en chino simplificado con detalles sobre correcciones de errores y mejoras, y los clientes interesados ​​deberían hacerlo. Esto sugiere que existe una alta posibilidad. para el que se está desarrollando, manteniendo y vendiendo.

Esta hipótesis también está respaldada por información filtrada por I-Soon a principios de este año. La información reveló un sitio de contrato de piratería corporativa a gran escala que opera en China y vínculos comerciales y organizativos entre empresas privadas y ciberatacantes respaldados por el gobierno chino.

Se cree que estas herramientas son el resultado de una compleja cadena de suministro dentro del ecosistema de ciberespionaje de China y se venden con fines comerciales al sector privado y a agencias gubernamentales que participan en actividades maliciosas patrocinadas por el Estado.

“Es probable que los Noodle RAT sean compartidos (o vendidos) entre grupos de habla china”, dijo Hiroaki. “Noodle RAT ha sido clasificado erróneamente e infravalorado durante muchos años”.

La implementación muestra que Mustang Panda (también conocido como Fireant), vinculado a China, apuntó a organizaciones en Vietnam con cebos con temas fiscales y educativos y un archivo de acceso directo de Windows (LNK) diseñado para implementar malware PlugX. campaña de phishing.

¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.




Fuente: https://thehackernews.com/2024/06/new-cross-platform-malware-noodle-rat.html