トレンドマイクロは、4月23日〜26日(現地時間)の期間に開催された「Botconf 2024」において、中国語圏のグループが使用するバックドア「Noodle RAT」の詳細について報告している。
トレンドマイクロは2022年以降、同じELFバックドアを使用したアジア太平洋地域の多数の標的型攻撃を調査してきた。多くのベンダは、同バックドアをGh0st RATやRekoobeといった既存のマルウェアの亜種であると特定していたものの、トレンドマイクロは同バックドアが既存のマルウェアの単なる亜種ではなく、まったく新しいタイプであることを明らかにし、「Noodle RAT」と名付けている。
Noodle RATは、Windows版(Win.NOODLERAT)とLinux版(Linux.NOODLERAT)の存在が確認されている、比較的単純なバックドアであり、Win.NOODLERATのバージョン1.0.0は2016年7月に、Linux.NOODLERATのバージョン1.0.1は2016年12月にコンパイルされたことが明らかになった。
2018年以降、同バックドアが関与する攻撃に関する複数のレポートが公開されているものの、当時このELFバックドアは前述したように別のマルウェアファミリとして識別されており、後にNoodle RATだったことが明らかになっている。
トレンドマイクロのテレメトリでは、2020年以降にタイ、インド、日本、マレーシア、台湾を標的としたNoodle RATを使用したスパイ活動も発見された。こういった事実から、Noodle RATは複数のグループ間で共有され、スパイ活動とサイバー犯罪の両方に使用されていることがわかる。
Win.NOODLERATは、シェルコード形式のインメモリモジュール型バックドアであり、NCC GroupとPositive Technology Securityによって最初に報告された。Iron TigerやCalypso APT、その他いくつかの知られていないクラスタによって、スパイ活動に使用されていると考えられる。組み込まれているバックドアの機能は非常にシンプルで、ファイルのダウンロードとアップロード、追加のインメモリモジュールの実行、TCPプロキシとしての動作のみとなっている。なお、シェルコード形式のため独自のローダが必要であり、調査によってMULTIDROPとMICROLOADが使用されていることが確認された。
Linux.NOODLERATは、Noodle RATのELFバージョンながらデザインは異なり、金銭目的のRocke(Iron Cybercrime Group)や、スパイ活動を目的としたCloud Snooper Campaignなど、さまざまな動機を持つ複数のグループによって使用されている。バックドアの機能もWin.NOODLERATとは異なっており、リバースシェル、ファイルのダウンロードとアップロード、スケジュール実行、SOCKSトンネルを搭載する。
近年VirusTotalにおいて発見された、Linux.NOODLERATのビルダを調査したところ、リリースノートは中国語(簡体字)で書かれており、テスト結果、改善、修正、更新について説明されていたという。このことから、正規のソフトウェアビジネスと同様にNoodle RATの背後には、開発者とクライアントの存在が示唆される。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
