Linux攻撃に使用される Nood RAT マルウェア配布

LinuxバージョンのGh0st RAT変異型のマルウェアである「 Nood RAT 」による攻撃が確認されました。 Nood RAT はバックドアマルウェアで、C&C（Command and Control）サーバーからコマンドを受け、様々な悪性行為を修行できるので注意する必要があります。

Nood RAT の原型のGh0st RATは、中国のC. Rufus Security Teamで開発したリモートコード・マルウェアです。オープンソースコードで、マルウェアの開発者はこれを参考にして多様な変種を開発し、実際の攻撃に活用しています。特に、中国語を使う攻撃者が主に使用していることが明らかになりました。

AhnLab Security Intelligence Center（ASEC）によると、 Nood RAT が初めて発見されたのは2018年でした。WebLogic脆弱性攻撃を通じて設置された事例をはじめとしてコインマイナー攻撃に活用され、Cloud Snooper APT攻撃キャンペーンの際も使用の履歴が発見されました。特に、AWS内のサーバーに対してバックドアマルウェアをインストールしてシステムを制御することもありました。

Nood RAT は大枠にリモートシェルの管理、ファイル管理、Socksプロキシ、ポートフォワーディングの4つの機能を支援します。これを通じて悪意的なコマンドを無視したり、ファイルをアップロード・ダウンロードすることで情報を奪取できるようになります。また、ネットワークパケット検知の迂回のために暗号化を使います。感染システムをプロキシに使用し、ポートフォワーディング機能で横方向に移動する過程で該当システムを活用することもできます。

このように、多様な攻撃に活用され、様々な悪性行為を修行できるので、脅威を予防するためには脆弱な環境設定を点検し、認証情報を検査すべきだとASECは説明します。そして関連システムは常に最新のバージョンを維持した方が安全です。

Nood RAT の圧縮ファイルの中にはリリースノートやビルダーのプログラム「NoodMaker.exe」が存在します。バックドアの制御プログラムの「Nood.exe」も含まれています。NoodMakerは制作の際、アーキテクチャ別にx86・x64バイナリーを生成し、攻撃対象のシステムに合うバイナリーを選んで使用できます。

Nood RATは正常のプログラムに偽装するために名前を変更する機能が搭載されています。偽装しようとするプロセスの名前はマルウェアを制作する過程で選択できます。Nood RATが初めて実行されると、RC4アルゴリズムを利用して暗号化されたデータを復号化します。その際、復号化された文字列が変更しようとするプロセスの名前です。

その後、設定データを復号化しますが、設定データはC&Cサーバーのアドレスや活性化された日付と時間、C&C連結を試した間隔に分けられます。伝送データはRC4アルゴリズムに暗号化します。その際、暗号化に使用されたキーは、現在の時間を基準に作られるため、ネットワークパケットベースの検知をバイパスすることができます。