스팸 메일로 유포되는 나노코어 악성코드 주의!

스팸 메일로 유포되는 나노코어 악성코드 주의! AhnLab l 2020-12-16     지난 2014년부터 제작되기 시작한 나노코어 악성코드는 개발자가 2016년 체포되기 전까지 딥웹(다크웹)을 통해 판매되었다. 하지만 크랙 버전이 공개되면서 개발자가 체포된 후에도 공격자들이 최근까지도 계속해서 유포하고 있어 사용자들의 지속적인 주의가 필요하다.     RAT(Remote Administration Tool) 악성코드인 ‘나노코어’는 키로깅, 스크린샷 캡쳐, 웹캠 제어 뿐 아니라, 웹 브라우저, 이메일, FTP 클라이언트의 계정 정보 수집 및 디도스(DDoS)까지 다양한 기능들을 지원한다. 나노코어는 플러그인 기반 악성코드로 위에 언급한 거의 모든 기능들이 각각의 플러그인에 구현되어 있다. 즉 공격자가 사용하는 플러그인에 따라 다양한 기능들을 사용할 수 있다는 뜻이다.     [그림 1] 나노코어 악성코드가 지원하는 다양한 플러그인들   최근 확인되는 나노코어 RAT는 대부분 아래와 같이 견적, 구매 요청 메일로 위장한 형태의 스팸 메일을 통해 유포되고 있다.     [그림 2] 견적, 구매 요청 메일로 위장한 스팸 메일 (1)     [그림 3] 견적, 구매 요청 메일로 위장한 스팸 메일 (2)   첫번째 이메일의 첨부 파일 ‘ORDER_10177_R35_UNIMAC.iso’와 두번째 이메일의 첨부 파일 ‘Payment_Advice.zip’ 모두, 내부에 실행 파일 형태의 나노코어 악성코드가 포함되어 있다. 아래 아이콘 중 왼쪽은 VLC 미디어 플레이어를, 오른쪽은 PDF 문서 파일을 위장했다. 사용자가 해당 파일을 미디어 또는 PDF 문서 파일로 착각해 실행하면 나노코어 악성코드에 감염되며, 이후 공격자가 원격으로 악성 행위를 수행할 수 있다.     [그림 4] 첨부 파일들의 위장 아이콘   다음은 최근 접수된 나노코어 RAT의 유포 파일명들이다. 앞서 언급한 스팸 메일 첨부 파일과 같이 대부분 견적, 구매 요청 그리고 배송 관련된 파일명이 사용되는 것을 확인할 수 있다.   - DHL AWB TRACKING DETAILS.exe   - ​DHL ShipmentDHL Shipment 237590.pdf.exe   - ​DHL_10177_R294_DOCUMENT.exe   - ​FedEx’s AWB#530532320464.exe   - ​Imag_7673.exe   - invoic & packingpdf.exe   - invoice_&packing_list.pdf.exe - New PO 64739 (UK).exe ​- ​ORDER INQUIRY.pdf.exe ​- ​ORDER_10177_R29_UNIMAC.exe ​- ​PAYMENT ADVICE.pdf.exe ​- ​Payment_Advice.exe ​- ​Proof Of Payment.scr ​- ​scan_021120200003(2)pdf.exe   위 파일명은 에이전트테슬라(AgentTesla), 폼북(Formbook), 아베마리아(AveMaria), 렘코스(Remcos) RAT 등 스팸 메일로 유포되는 다른 악성코드의 파일명과 유사하다. 또한, 진단 우회를 위해 닷넷 외형의 패커로 패킹되어 유포되는 점도 동일하다.     [그림 5] 나노코어 악성코드 패널   나노코어 악성코드는 빌더에서 작업 스케줄러 등록, 키로깅 활성화 외에도 Zone.Identifier 삭제, 런키(Run Key) 등록 등의 설정을 활용할 수 있다. 나노코어의 플러그인이 지원하는 기능으로는 프로세스 관리자, 파일 관리자, 레지스트리 에디터와 같은 시스템 관리를 위한 기본적인 명령들이 있다.   또한, HTTP 플러드(Flood), TCP 플러드, UDP 플러드, 슬로우로리스(Slowloris), SYN 플러드 등의 디도스 공격 수행이 가능하며, 키로깅 및 사용자 프로그램들에 대한 계정 정보 유출 기능도 있다.   나노코어 RAT 악성코드는 스팸 메일을 통해 유포되고 있으며, 사용자들은 의심스러운 메일을 수신할 경우 첨부 파일 실행을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.   현재 V3 제품에서는 나노코어 RAT 악성코드를 아래의 진단명으로 탐지 및 차단하고 있다.   [파일 진단] Trojan/Win32.Agent.C4227378 (2020.11.19.00) Trojan/Win32.AgentTesla.R356585 (2020.11.26.03)   [행위 진단] Malware/MDP.Inject.M3034   [IOC] ORDER_10177_R35_UNIMAC.iso에 포함된 NanoCore – MD5: e2cdee5de5d41974393fdd55e74eb643 – C&C 서버: NANOPC.LINKPC[.]NET:5504   Payment_Advice.zip에 포함된 NanoCore – MD5: d99ba4c03e141058ff3208f6e2671e6c – C&C 서버: jackpiaau.ddns[.]net:1121   나노코어 RAT 악성코드에 대한 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다.   ▶ASEC 블로그 바로가기