스팸 메일로 유포 중인 NanoCore RAT 악성코드

NanoCore는 RAT(Remote Administration Tool) 악성코드로서 개발자가 과거 2014년부터 제작하기 시작했고 2016년 체포되기 전까지 딥웹을 통해 판매되었다. 하지만 크랙 버전이 공개됨에 따라 개발자가 체포된 후에도 현재까지 꾸준히 공격자들에 의해 사용되고 있다.

RAT 악성코드인 NanoCore는 키로깅, 스크린샷 캡쳐, 웹캠 제어와 같은 기능들뿐만 아니라 DDoS, 웹 브라우저 및 이메일 그리고 FTP 클라이언트 계정 정보 수집과 같은 다양한 기능들을 지원한다. NanoCore는 플러그인 기반 악성코드로서 위에서 언급한 거의 모든 기능들이 각각의 플러그인에 구현되어 있다. 즉 공격자가 어떠한 플러그인을 사용하느냐에 따라 다양한 기능들을 사용할 수 있는 형태이다.

[그림 1] NanoCore가 지원하는 다양한 플러그인들

최근 확인되는 NanoCore RAT들은 대부분 아래와 같이 견적, 구매 요청 메일로 위장한 형태의 스팸 메일을 통해 유포되고 있다.

[그림 2] 견적, 구매 요청 메일로 위장한 스팸 메일 – 1
[그림 3] 견적, 구매 요청 메일로 위장한 스팸 메일 – 2

첫번째 메일의 첨부 파일 ORDER_10177_R35_UNIMAC.iso와 두번째 메일의 첨부 파일 Payment_Advice.zip 모두 내부에 실행 파일 형태의 NanoCore RAT 악성코드가 포함되어 있다. 아래 아이콘 중 왼쪽은 VLC 미디어 플레이어를 위장한 것이며, 오른쪽은 PDF 문서 파일을 위장한 것이다. 이에 따라 사용자가 음악이나 동영상과 같은 미디어 파일 또는 PDF 문서 파일로 착각하여 실행시킨다면 NanoCore에 감염되며 이후 원격의 공격자에 의해 악성 행위가 수행될 수 있다.

[그림 4] 첨부 파일들의 위장 아이콘

다음은 최근 접수된 NanoCore RAT의 접수 파일명들이며, 위에서 언급한 스팸 메일의 첨부 파일들과 같이 대부분 견적, 구매 요청 그리고 배송 관련된 파일명이 사용되는 것을 확인할 수 있다.

  • DHL AWB TRACKING DETAILS.exe
  • DHL ShipmentDHL Shipment 237590.pdf.exe
  • DHL_10177_R294_DOCUMENT.exe
  • FedEx’s AWB#530532320464.exe
  • Imag_7673.exe
  • invoic & packingpdf.exe
  • invoice_&packing_list.pdf.exe
  • New PO 64739 (UK).exe
  • ORDER INQUIRY.pdf.exe
  • ORDER_10177_R29_UNIMAC.exe
  • PAYMENT ADVICE.pdf.exe
  • Payment_Advice.exe
  • Proof Of Payment.scr
  • scan_021120200003(2)pdf.exe

참고로 이러한 이름들은 AgentTesla, Formbook, AveMaria, Remcos RAT 등 스팸 메일로 유포되는 다른 악성코드들과 유사하다. 또한 최신 접수되는 유형들이 대부분 진단을 우회하기 위한 목적으로 닷넷 외형의 패커로 패킹되어 유포되고 있다는 점도 동일하다.

[그림 5] NanoCore 패널

NanoCore는 빌더에서 작업 스케줄러등록이나 키로깅 활성화와 같은 기능들 외에도 Zone.Identifier 삭제, Run Key 등록 등의 설정들을 사용할 수 있다. NanoCore 플러그인들이 지원하는 기능으로는 프로세스 관리자, 파일 관리자, 레지스트리 에디터와 같은 시스템 관리를 위한 기본적인 명령들이 있다.

또한 HTTP Flood, TCP Flood, UDP Flood, Slowloris, SYN Flood와 같은 DDoS 공격 및 키로깅, 웹 브라우저와 이메일 클라이언트, FTP 클라이언트 같은 사용자 프로그램들에 대한 계정 정보 유출 기능이 존재한다.

NanoCore RAT 악성코드는 스팸 메일을 통해 유포되고 있으며, 이에 따라 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.

[파일 진단]
Trojan/Win32.Agent.C4227378 (2020.11.19.00)
Trojan/Win32.AgentTesla.R356585 (2020.11.26.03)

[행위 진단]
Malware/MDP.Inject.M3034

[IOC]
ORDER_10177_R35_UNIMAC.iso에 포함된 NanoCore
– MD5 : e2cdee5de5d41974393fdd55e74eb643
– C&C 서버 : NANOPC.LINKPC[.]NET:5504

Payment_Advice.zip에 포함된 NanoCore
– MD5 : d99ba4c03e141058ff3208f6e2671e6c
– C&C 서버 : jackpiaau.ddns[.]net:1121

Categories:악성코드 정보

Tagged as:, ,

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments