Trend Microは6月11日(米国時間)、「Noodle RAT Reviewing the Backdoor Used by Chinese-Speaking Groups|Trend Micro (US)」において、これまでGh0st RATまたはRekoobeの亜種と考えられていたマルウェアがこれらとは異なるマルウェアだったとしてその分析結果を伝えた。新しく特定されたマルウェアは「Noodle RAT」と名付けられている。
マルウェア「Noodle RAT」の正体
新しく特定されたマルウェア「Noodle RAT(別名:ANGRYREBEL、Nood RAT)」は、WindowsおよびLinuxを標的とするバックドアとされる。Noodle RATは2016年ごろから存在が確認され、2020年以降はタイ、インド、日本、マレーシア、台湾を標的としたスパイ活動に利用されたとみられている。
このマルウェアは複数の脅威グループに利用されており、Windows版はスパイ活動に、Linux版は経済的利益のために使用されたという。Trend Microが入手したマルウェアのサーバ側コンポーネントには中国語で書かれたリリースノートが付属しており、中国語圏のマルウェア開発者が、同地域の脅威アクターにマルウェアを販売しているものと推測されている。
マルウェアはシンプルなバックドアとされ、Windows版は次の機能を持つとされる。
- ファイルのダウンロードおよびアップロード
- 追加のインメモリーモジュールの実行
- TCPプロキシ
Linux版はWindows版と若干機能が異なり、次の機能を持つとされる。
- リバースシェル
- ファイルのダウンロードおよびアップロード
- スケジュール実行
- SOCKSトンネルの作成
新しいマルウェアとして特定した経緯
これまでNoodle RATは既存のGh0st RATやRekoobeの亜種と考えられていた。Gh0st RATは2008年にソースコードを漏洩しており、さまざまな脅威アクターに用いられている。Noodle RATもこのソースコードを一部参考にしたとみられ、プラグインや暗号アルゴリズムに類似点が存在する。しかしながら、他の部分には類似点がなく、Trend MicroはGh0st RATの亜種ではないと評価している。
RekoobeはTiny SHellをベースにしたバックドアで、ソースコードが公開されている。Noodle RATはRekoobe v2018のコードを参考にしたとみられ、リバースシェルおよびプロセス名スプーフィングの処理がRekoobe v2018と同等とされる。
このように、Noodle RATは一部の処理を他のマルウェアのソースコードを参考に開発している。そのため、過去の分析ではGh0st RATまたはRekoobeの亜種として評価されたものと考えられる。Trend Microはこの考察に加え、サーバ側コンポーネントを入手、分析しており、それらを総合して別種のマルウェアと特定している。