Noodle RAT の脅威にコンピュータを乗っ取られないようにする
Noodle RAT は最近発見されたクロスプラットフォーム マルウェアで、中国語圏の脅威アクターによってスパイ活動とサイバー犯罪の両方に使用されています。当初は Gh0st RAT と Rekoobe の亜種であると考えられていましたが、現在では別の種類のマルウェアとして認識されています。
Table of Contents
背景と進化
2016 年 7 月に初めて特定された Noodle RAT (別名 ANGRYREBEL または Nood RAT) には、Windows および Linux システム用のバージョンがあります。2008 年に出現した Gh0st RAT は、中国政府のハッカーの代表的なツールです。長年にわたり、Gh0st RAT、PlugX、ShadowPad などのツールがサイバー攻撃で広く使用されてきました。
Windows バリアント
Windows 版の Noodle RAT は、Iron Tiger や Calypso などのハッキング グループが使用するメモリ内モジュール バックドアです。ローダー経由で起動され、ファイルのダウンロード/アップロード、追加のマルウェアの実行、TCP プロキシとしての動作、自己削除など、さまざまなコマンドをサポートします。タイとインドへの攻撃では、MULTIDROP と MICROLOAD という 2 つのローダーが確認されています。
Linux バリアント
Noodle RAT の Linux 版は、Rocke や Cloud Snooper など、中国と関係のあるさまざまなサイバー犯罪グループやスパイグループによって使用されています。この亜種は、リバース シェルを起動し、ファイルをダウンロード/アップロードし、実行をスケジュールし、SOCKS トンネリングを開始することができます。攻撃では通常、公開アプリケーションの既知のセキュリティ上の欠陥を悪用してサーバーに侵入し、リモート アクセス用の Web シェルを展開します。
共通点と指揮統制
コマンドは異なりますが、Windows 版と Linux 版はどちらも、コマンド アンド コントロール (C2) 通信用の同一のコードと類似の構成フォーマットを共有しています。さらに分析すると、Noodle RAT は Gh0st RAT のプラグインを再利用し、Rekoobe とコードを共有していますが、依然として独自のマルウェアであることがわかります。
開発と流通
トレンドマイクロの調査により、Noodle RAT の Linux 亜種用のコントロール パネルとビルダーが明らかになりました。簡体字中国語のリリース ノートには、活発な開発とメンテナンスが行われていることが示されています。このマルウェアは、民間企業と国家支援の攻撃者が関与する、中国のサイバー スパイ エコシステムの複雑なサプライ チェーン内で開発、メンテナンス、販売されている可能性があります。
誤分類と過小評価
Noodle RAT は長年にわたり誤分類され、過小評価されてきました。中国と関係のある Mustang Panda グループも、ベトナムの組織を標的としたスピアフィッシング キャンペーンに関与しており、LNK ファイルを使用して PlugX マルウェアを展開しています。
Noodle RAT がもたらす脅威を理解し、軽減することは、システムをサイバースパイ活動や犯罪から保護するために不可欠です。その独特の特徴と、その配布の背後にある洗練されたサプライ チェーンを認識することは、効果的な防御戦略の開発に役立ちます。
