中国語を話す脅威アクターによって、スパイ活動またはサイバー犯罪のために数年間使用されてきた新しいクロスプラットフォームマルウェア「Noodle RAT」が発見された。このバックドアは、以前はGh0st RATやRekoobeの変種とされていたが、トレンドマイクロのセキュリティ研究者Hara Hiroakiによると、完全に新しいタイプのマルウェアである。Noodle RATはWindowsとLinuxの両方のバージョンがあり、少なくとも2016年7月から使用されていると考えられている。
Windows版のNoodle RATは、メモリ内モジュラーバックドアとして、ファイルのダウンロード/アップロード、追加のマルウェアの実行、TCPプロキシとしての機能、自己削除などのコマンドをサポートしている。これまでに、タイとインドを対象とした攻撃で、MULTIDROPとMICROLOADの少なくとも2種類のローダーが観察されている。Linux版のNoodle RATは、リバースシェルの起動、ファイルのダウンロード/アップロード、実行のスケジュール設定、SOCKSトンネリングの開始などを行うことができ、公開アプリケーションの既知のセキュリティ脆弱性を利用してLinuxサーバーに侵入し、リモートアクセスとマルウェア配信のためのWebシェルをドロップする攻撃に利用されている。
両バージョンは、コマンドアンドコントロール(C2)通信のコードと設定フォーマットが同一であるとされている。さらなる分析により、Noodle RATはGh0st RATに使用されている様々なプラグインを再利用しており、Linux版の一部はRekoobeとコードが重複しているが、バックドア自体は完全に新しいものである。トレンドマイクロは、Noodle RATのLinux版に使用されるコントロールパネルとビルダーにアクセスでき、バグ修正と改善に関する詳細が記載された簡体字中国語のリリースノートが含まれていることから、このツールは開発、維持され、関心のある顧客に販売されている可能性が高いとしている。この仮説は、中国からの大規模なハックフォーハイアシーンと中国の国家支援サイバーアクター間の運用上および組織上の関連を浮き彫りにしたI-Soonリークによっても補強されている。
【ニュース解説】
中国語を話す脅威アクターによってスパイ活動やサイバー犯罪に数年間使用されてきた新しいクロスプラットフォームマルウェア「Noodle RAT」が発見されました。このマルウェアは、WindowsとLinuxの両システムをターゲットにしており、2016年7月から活動しているとされています。従来、Gh0st RATやRekoobeの変種と考えられていましたが、トレンドマイクロのセキュリティ研究者によると、Noodle RATはこれらとは異なる全く新しいタイプのマルウェアであることが明らかにされました。
Noodle RATは、メモリ内で動作するモジュラーバックドアとして設計されており、ファイルのダウンロードやアップロード、追加のマルウェアの実行、TCPプロキシ機能、自己削除などのコマンドをサポートしています。Windows版とLinux版では、攻撃の手法や使用されるコマンドに違いはありますが、コマンドアンドコントロール(C2)通信のコードや設定フォーマットには共通点があります。このマルウェアは、公開されているアプリケーションのセキュリティ脆弱性を悪用してLinuxサーバーに侵入し、リモートアクセスとマルウェア配信のためのWebシェルをドロップする攻撃にも利用されています。
Noodle RATの開発と維持は、簡体字中国語で書かれたリリースノートが含まれるコントロールパネルとビルダーを通じて行われていることが確認されています。これは、このツールが中国のサイバー攻撃エコシステム内で商業ベースで開発、販売されている可能性が高いことを示唆しています。さらに、I-Soonリークにより、中国のハックフォーハイアシーンと国家支援サイバーアクター間の運用上および組織上の関連が明らかになり、Noodle RATが中国語を話すグループ間で共有され、販売されている可能性があることが示唆されています。
この発見は、サイバーセキュリティの世界において重要な意味を持ちます。まず、クロスプラットフォームで機能するマルウェアの存在は、攻撃者がより広範なターゲットに対して柔軟に攻撃を行うことができることを意味します。また、新しいタイプのマルウェアが発見されるたびに、セキュリティ対策の更新と強化が必要になります。さらに、国家支援の背景を持つサイバー攻撃は、その目的や影響がより広範かつ深刻である可能性があり、国際的なサイバーセキュリティの環境において重要な課題となります。
Noodle RATの発見と分析は、サイバーセキュリティコミュニティにとって重要な情報を提供し、今後の防御策の策定に役立つでしょう。また、このようなマルウェアの存在が明らかになることで、企業や組織は自身のセキュリティ対策を見直し、強化する機会を得ることができます。
from New Cross-Platform Malware 'Noodle RAT' Targets Windows and Linux Systems.
