ASEC 分析チームでは最近、外貨送金通知を装ったマルウェア、NanoCore RAT が拡散している状況を確認した。NanoCore RAT は主にフィッシングメールを利用して配布されるため、さらなるユーザーの注意が必要である。
まず、フィッシングメールは以下のように特定のキャピタル企業を詐称して[00キャピタル]外貨送金到着通知という件名で出回っており、本文にはユーザーに添付ファイルを確認して開くように誘導する内容が含まれている。本文は、特定のキャピタル企業が実際に使用している正常な画像をそのまま引用しているものと推定される。
添付ファイルをダウンロードして確認すると、R03 という拡張子の RAR 系列のファイルが確認でき、圧縮・解凍プログラムを利用して解凍すると、以下の図のように EXE 実行ファイルが確認できる。


このマルウェアを実行すると Sandbox を回避するために特定の時間が過ぎたあとに作動し、以下のパスに自己複製を行ってからインジェクションして不正な行為が実行される。
– 自己複製先パス:%temp%\[ファイル名]
また、以下のパスに追加で自己複製した後、自動実行関連のレジストリを利用して Windows の再起動時に自動で実行されるように設定する。
– 自己複製先パス : %appdata%\Microsoft\Windows\Start Menu\Programs\Adnoe.exe
– 自動実行登録 : HKCU\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Shell

インジェクションされるコードは NanoCore RAT マルウェアで、C2 に定期的に接続して以下のような様々な不正な行為を起こす。
– キーロガー、スクリーンショットキャプチャ、Web カメラ制御、リモート制御、DDoS、Web ブラウザおよび FTP アカウント情報の奪取、その他攻撃者が意図した行為

NanoCore RAT マルウェアは主にスパムメールによって配布されているため、出どころが不明なメールに対しては特に注意が必要であり、疑わしいメールの添付ファイルは開かないようにしなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
[NanoCore 関連ブログページ]
https://asec.ahnlab.com/ko/18763/
AhnLab V3 プロダクトラインでは、不正なファイルに対して以下の通り検知している。
[ファイル検知]
Trojan/Win.Generic.C4572136
Win-Trojan/Nanocore.Exp
[IOC]
2c576a87b820ab1568614056efba4928
f38cfce7edf1cc498eba37f135f324c6
pure3[.]ddns[.]net
Categories:マルウェアの情報