외화송금 통지를 가장한 NanoCore RAT 유포중!

ASEC 분석팀에서는 최근 외화송금 통지를 가장한 NanoCore RAT 악성코드 유포 정황을 확인하였다. NanoCore RAT의 경우 주로 피싱메일을 이용하여 유포되기 때문에 사용자들의 주의가 더욱 더 필요하다.

먼저, 피싱 메일은 아래와 같이 특정 캐피탈 회사를 사칭하여 “[00캐피탈]외화송금도착 통지” 라는 제목으로 유포되고 있으며, 본문에는 사용자에게 첨부파일을 확인하고 실행하도록 유도하는 내용이 포함되어 있다. 본문은 특정 캐피탈 회사에서 실제 정상적으로 사용하는 그림을 그대로 가져온 것으로 추정된다.

[그림 1] 외화송금 통지를 가장한 피싱 메일

첨부파일을 받아 확인해보면 R03 확장자를 가진 RAR 계열 파일로 확인이 되며, 압축 프로그램을 이용하여 압축을 풀면 아래 사진과 같이 EXE 실행 파일을 확인할 수 있다.

[그림 2] 첨부파일의 압축을 풀면 나오는 실행 파일

이 악성코드를 실행하면 Sandbox를 우회하기 위하여 특정 시간이 흐른 뒤 작동하며, 아래 경로로 자가복제된 후 인젝션하여 악성 행위가 실행된다.
– 자가 복제 경로 : %temp%\[파일명]

또한, 아래 경로에 추가 자가복제한 후 자동 실행 관련 레지스트리를 이용하여 윈도우 재시작 시 자동으로 실행되도록 설정한다.
– 자가 복제 경로 : %appdata%\Microsoft\Windows\Start Menu\Programs\Adnoe.exe
– 자동 실행 등록 : HKCU\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Shell

[그림 3] 자동 실행 등록

인젝션되는 코드는 NanoCore RAT 악성코드로 C2에 주기적으로 접속하며 아래와 같은 다양한 악성 행위를 일으킨다.
– 키로깅, 스크린샷 캡처, 웹캠 제어, 원격 제어, DDoS, 웹 브라우저 및 FTP 계정 정보 탈취, 그 외 공격자가 원하는 행위

[그림 4] NanoCore Manage 프로그램 패널

NanoCore RAT 악성코드는 주로 스팸 메일을 통해 유포되고 있어 출처가 불분명한 메일에 대하여 각별한 주의가 필요하며, 의심스러운 메일에 대한 첨부파일 실행은 지양해야 한다. 또한, V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.

[NanoCore 관련 블로그 게시글]


안랩 V3 제품군에서는 악성 파일에 대하여 아래와 같이 진단하고 있다.

[그림 5] V3 Lite 진단

[파일진단]
Trojan/Win.Generic.C4572136
Win-Trojan/Nanocore.Exp

[IOC]
2c576a87b820ab1568614056efba4928
f38cfce7edf1cc498eba37f135f324c6
pure3[.]ddns[.]net

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments