국내 포럼 자료실에서 Nitol 악성코드 유포 중

ASEC 분석팀은 국내 한 커뮤니티 포럼 자료실에서 악성코드가 유포 중인 것을 확인하였다. 공격자는 유틸리티 공유로 위장한 악성코드 유포 게시글 4개를 업로드하였다. 해당 게시글에서는 특정 유틸리티로 위장한 Nitol 악성코드를 유포한다. 관련 공격은 지난 6월부터 계속되었다.

그림1. 악성코드 유포 게시글

각각의 게시글에는 유틸리티에 관한 설명과, 토렌트 파일이 첨부되어 있다. 토렌트 클라이언트를 통해 토렌트 파일을 열면 파일 다운로드가 가능하다. 공격자가 업로드한 토렌트 파일로 파일을 다운로드할 경우 유틸리티로 위장한 악성코드가 다운로드 된다.

그림2. 게시글 본문 및 첨부 파일

각각의 게시물로부터 다운로드한 악성코드 파일들은 실제 유틸리티의 아이콘으로 위장하였다.

그림3-1. 각 게시글에 첨부된 Torrent 파일
그림3-2. 각 토렌트 파일로 다운로드되는 악성코드

실행 시 %Appdata% 폴더에 랜덤한 파일명으로 자가 복제를 수행하며 레지스트리 자동실행 등록 명령어를 실행한다.

C:\Windows\System32\reg.exe  ADD “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /V “My App” /t REG_SZ /F /D “C:\Users\vmuser\AppData\Roaming\[random].exe”
표1. 자동실행 등록 명령어

이후 C2 접속을 시도하며 공격자의 명령을 대기한다. Nitol 악성코드는 공격자의 명령에 따라 추가 파일을 다운로드하여 실행하거나, 특정 주소로 DDoS 공격을 수행하는 등의 악성 행위가 가능하다.

그림4. C2 접속 코드

한편 ASEC 분석팀에서는 해당 공격을 지난 6월 부터 식별하였다. 공격자는 동일한 자료실에 주기적으로 Nitol 악성코드를 유포하는 게시글을 업로드 해 왔으며 유포된 Nitol 악성코드는 모두 동일한 C2를 사용한다. 업로드 시 4~5개의 게시글을 연속적으로 업로드하는 특징을 보인다. 추후에도 공격자가 해당 자료실에 악성코드를 업로드할 수 있으므로 사용자의 주의가 필요하다.

지난 약 2주 동안 아래와 같은 파일명으로 동일 포럼, 타 웹하드 등을 통해 Nitol 악성코드가 유포된 이력이 존재한다.

  • startisback++ 2.9.13 (2.9.1 for 1607) startisback+ 1.7.6 startisback 2.1.2
  • 한컴오피스교육기관용 2020
  • lumion v4.02 [64bit] incl crack – [mumbai-tpb]
  • labyrinc
  • rival stars horse racing desktop edition repack
  • 한글 2020
  • microsoft toolkit 2.6 beta 4 official
  • adobe illustrator 2020
  • sw_dvd5_office_professional_plus_2016_w32_korean_mlf_x20-41358
  • kmsauto net 2015 v1.4.5 portable
  • 2020 정품인증
  • microsoft office 2016
  • [정식 한글판] 오피스 2007
  • w10 digital activation v1.4.1.exe


[IOC]

C2: rlarnjsdud0502.kro[.]kr

7f0bd4234ba4799a6528eb47de6dde3a (Trojan/Win.Nitol.C4540307)
010db728be2d4ea9d315beec6377f35c (Trojan/Win.Nitol.C4540307)
6046e10c7361299301fb99013cc33ee1 (Trojan/Win.Nitol.C4540307)
0f216a47308f72427107e4a7f5f88c24 (Trojan/Win.Nitol.C4540307)

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments