원격 제어 프로그램인 ‘NanoCore’를 실행하는 악성 메일 주의!

안녕하세요.

이스트시큐리티 시큐리티대응센터(ESRC)입니다.

5/25 OLE 내부에 PE가 포함된 형태의 악성문서가 첨부된 메일이 발견되었습니다.

"Scan Copy_PO#~~"라는 제목의 이 악성 메일에는 공격자에 의해 조작된 Word 문서가 포함되어 있으며, 메일 본문은 어색한 한국어로 작성되어 있습니다. 

ESRC에서는 해당 피싱 메일에 첨부된 악성 파일 (SCAN+COPY.doc/Scan+Copy.docx.exe)에 대해 분석해 보았습니다.

유포 중인 악성 이메일은 첨부된 사진 스캔 사본을 확인하라는 내용을 담고 있습니다. 

  [그림 1] 악성 메일 본문

첨부된 doc 문서를 확인하면 아래와 같이 ‘보안 파일을 보려면 누르십시오’라는 안내를 보여주며 사용자의 클릭을 유도합니다.

  [그림 2] 사용자의 클릭을 유도하는 DOC 문서 화면

사용자가 안내를 따라 클릭을 하면 ‘Scan+Copy.docx.exe’라는 악성코드가 실행됩니다.

  [그림 3] 악성코드 실행 화면

실행 파일은 난독화되어 있으며 디코딩 결과 원격 제어 프로그램인 ‘NanoCore’인 것으로 확인되었습니다.

[그림 4] NanoCore 디코딩 코드

이 악성코드는 %temp% 경로 하위 win32.exe 파일명으로 자가복제하여 정상 파일로 위장하며 부팅 시에도 자동 실행되도록 레지스트리에 등록합니다. 

주 악성 행위로 C&C 서버와 통신하여 키로깅, 원격제어 등의 해킹이 가능한 백도어 기능을 수행하게 되며 감염된 시스템으로부터 데이터를 수집하게 됩니다.

  [그림 5] 키로깅 데이터

수집된 데이터는 사전에 공격자가 세팅해둔 C&C로 전송됩니다. 

따라서 출처가 불분명한 메일을 확인할 경우에는 미리보기 기능을 활용하고, 메일 열람에 각별한 주의를 기울여야 합니다. 

현재 알약에서는 해당 악성 샘플에 대해 "Trojan.Downloader.DOC.Gen, Trojan.Agent.Wacatac, Backdoor.RAT.MSIL.NanoCore"으로 탐지 중입니다.