ヌードルラット
セキュリティ専門家にこれまで知られていなかった Noodle RAT という新しいクロスプラットフォーム マルウェアが、ここ数年、中国語圏の脅威アクターによってスパイ活動やサイバー犯罪の目的で利用されてきました。当初はGh0st RATと Rekoobe の亜種と考えられていましたが、研究者らは現在、Noodle RAT が既存のマルウェアの単なる改変版ではなく、まったく新しい脅威であることを確認しています。このマルウェアは ANGRYREBEL や Nood RAT などの別名で動作し、Windows と Linux の両方のシステムと互換性があります。このマルウェア 系統は、少なくとも 2016 年 7 月から活動していたとみられています。
目次
攻撃者は被害者のシステムに基づいてNoodle RATの亜種を展開する
メモリ内で動作するモジュール式バックドアである Noodle RAT の Windows 版は、Iron Tiger や Calypso などのハッカー グループによって使用されています。シェルコード ベースの構造のため、ローダーを介してアクティブ化されます。このマルウェアは、ファイルのダウンロード/アップロード、他のマルウェア ストレインの実行、TCP プロキシとしての動作、自己削除など、さまざまなコマンドを実行できます。タイとインドを標的とした攻撃では、それぞれ MULTIDROP と MICROLOAD という 2 つの異なるローダー タイプが確認されています。
一方、Linux 版の Noodle RAT は、Rocke や Cloud Snooper など、中国と関係のあるさまざまなサイバー犯罪グループやスパイグループによって使用されています。この亜種は、リバース シェルの開始、ファイル転送の管理、タスクのスケジュール設定、SOCKS トンネリングの設定が可能です。これらの攻撃は、公開されているアプリケーションの既知の脆弱性を悪用して Linux サーバーに侵入し、リモート アクセスとマルウェア配信用の Web シェルを展開します。
Noodle RAT バージョンの類似点
バックドア コマンドの違いにもかかわらず、Noodle RAT の両方のバージョンは、同一のコマンド アンド コントロール (C2) 通信コードを共有し、同様の構成形式を使用していると報告されています。Noodle RAT アーティファクトをさらに調査すると、マルウェアには Gh0st RAT が使用するさまざまなプラグインが組み込まれており、Linux バージョンの一部のセグメントは Rekoobe とコードの類似点を共有しているものの、バックドア自体は完全に新しいものであることがわかります。
研究者らは、Noodle RAT の Linux 版に使用されるコントロール パネルとビルダーにもアクセスしました。簡体字中国語で書かれたリリース ノートにはバグ修正と改善の詳細が記載されており、特定の顧客向けに開発、保守、販売されている可能性が高いことが示唆されています。
この評価は、2024 年初頭の漏洩によって強化され、中国で活動する大規模な企業ハッキング請負エコシステムを明らかにしています。これらの漏洩は、民間企業と中国政府が支援するサイバー攻撃者との間の運用上および組織上のつながりを強調しています。
Noodle RAT は複数の中国サイバー犯罪グループによって悪用される可能性がある
この脅威となるツールは、中国のサイバースパイネットワーク内の高度なサプライチェーンから生まれたものと考えられており、悪意ある国家支援の作戦に関与する民間部門と政府機関の両方に商業的に販売され、配布されている。Noodle RAT は中国語圏のグループの間で流通または販売されている可能性が高い。結局のところ、このツールは長い間、誤分類され、過小評価されてきたのだ。
