Nudel RATTE
Eine neue plattformübergreifende Malware namens Noodle RAT, die Sicherheitsexperten bisher unbekannt war, wurde in den letzten Jahren von chinesischsprachigen Bedrohungsakteuren für Spionage- und Cyberkriminalitätszwecke eingesetzt. Ursprünglich wurde angenommen, dass es sich bei Noodle RAT um eine Variante von Gh0st RAT und Rekoobe handelt. Forscher bestätigen nun jedoch, dass es sich bei Noodle RAT nicht nur um eine Modifikation bestehender Malware, sondern um eine völlig neue Bedrohung handelt. Es läuft unter Aliasnamen wie ANGRYREBEL und Nood RAT und ist sowohl mit Windows- als auch mit Linux-Systemen kompatibel. Es wird vermutet, dass dieser Malware-Stamm seit mindestens Juli 2016 aktiv ist.
Inhaltsverzeichnis
Angreifer setzen die Noodle-RAT-Varianten auf Basis der Systeme der Opfer ein
Die Windows-Edition von Noodle RAT, einer modularen Hintertür, die im Arbeitsspeicher ausgeführt wird, wurde von Hackergruppen wie Iron Tiger und Calypso verwendet. Aufgrund seiner Shellcode-basierten Struktur wird es über einen Loader aktiviert. Diese Malware kann verschiedene Befehle ausführen, z. B. Dateien herunterladen/hochladen, andere Malware-Stämme ausführen, als TCP-Proxy fungieren und sich selbst löschen. Bei Angriffen auf Thailand bzw. Indien wurden zwei unterschiedliche Loader-Typen identifiziert, nämlich MULTIDROP und MICROLOAD.
Auf der anderen Seite wurde die Linux-Version des Noodle RAT von verschiedenen mit China verbundenen Cybercrime- und Spionagegruppen wie Rocke und Cloud Snooper eingesetzt. Diese Variante kann eine Reverse Shell initiieren, Dateiübertragungen verwalten, Aufgaben planen und ein SOCKS-Tunneling einrichten. Diese Angriffe nutzen bekannte Schwachstellen in öffentlich zugänglichen Anwendungen aus, um Linux-Server zu infiltrieren und eine Web-Shell für den Fernzugriff und die Verbreitung von Malware bereitzustellen.
Ähnlichkeiten zwischen den Noodle RAT-Versionen
Trotz der Unterschiede bei den Backdoor-Befehlen teilen sich beide Versionen des Noodle RAT Berichten zufolge den gleichen Command-and-Control (C2)-Kommunikationscode und verwenden ähnliche Konfigurationsformate. Eine genauere Untersuchung der Noodle RAT-Artefakte zeigt, dass die Malware zwar verschiedene von Gh0st RAT verwendete Plugins enthält und einige Segmente der Linux-Version Codeähnlichkeiten mit Rekoobe aufweisen, die Backdoor selbst jedoch völlig neu ist.
Forscher haben sich außerdem Zugang zu einem Control Panel und Builder verschafft, die für die Linux-Variante des Noodle RAT verwendet werden. In den in vereinfachtem Chinesisch verfassten Versionshinweisen werden Fehlerbehebungen und Verbesserungen detailliert beschrieben, was darauf schließen lässt, dass das Programm wahrscheinlich entwickelt, gewartet und an bestimmte Kunden verkauft wird.
Diese Einschätzung wird durch Leaks von Anfang 2024 untermauert, die Licht auf ein umfangreiches Hack-for-Hire-Ökosystem werfen, das von China aus operiert. Diese Leaks unterstreichen die operativen und organisatorischen Verbindungen zwischen Unternehmen des privaten Sektors und vom chinesischen Staat gesponserten Cyber-Akteuren.
Der Noodle RAT wird möglicherweise von mehreren chinesischen Cybercrime-Gruppen ausgenutzt
Man geht davon aus, dass die bedrohlichen Tools aus einer ausgeklügelten Lieferkette innerhalb des chinesischen Cyber-Spionage-Netzwerks stammen, wo sie kommerziell verkauft und sowohl an den privaten Sektor als auch an staatliche Stellen verteilt werden, die an bösartigen, staatlich geförderten Operationen beteiligt sind. Der Noodle RAT wird wahrscheinlich unter chinesischsprachigen Gruppen verbreitet oder verkauft. Schließlich wurde er über einen langen Zeitraum falsch klassifiziert und unterschätzt.
