상세 컨텐츠

본문 제목

이메일 내 링크가 포함된 이미지를 통하여 유포중인 NanoCore 악성코드 주의!

악성코드 분석 리포트

by 알약4 2021. 11. 1. 17:23

본문

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

이메일 내 링크가 포함된 이미지를 통하여 악성코드를 유포중인 악성 메일이 확인되어 사용자들의 주의가 필요합니다. 

 

이번에 발견된 악성메일은 첨부문서 라는 제목으로 유포되고 있습니다. 해당 이메일을 클릭하면 어떠한 내용도 없이 이미지 파일이 포함되어 있습니다. 

 

 

[그림 1] 첨부 문서 검토 제목으로 유포중인 악성 메일

 

 

해당 이미지에는 링크가 포함되어 있으며, 해당 링크를 클릭 시 압축파일이 다운로드 됩니다. 

 

 

[그림 2] 이미지 클릭 시 내려오는 악성파일

 

 

해당 파일의 압축을 해제하면 .scr 확장자를 가진 파일을 확인할 수 있습니다. 

 

 

[그림 3] 압축 파일 내 포함되어 있던 .scr 파일

 

 

해당 파일의 확장자는 .scr 파일이지만, 실제로는 압축파일로 압축파일 내에는 다음과 같이 여러개의 파일들이 포함되어 있습니다. 

 

 

[그림 4] .scr 파일 내 포함되어 있는 파일들

 

 

하지만 사용자는 압축파일인지 확인하기는 힘들며, 다운로드 된 .scr 파일을 더블클릭하면 자신을 레지스트리에 등록하고  Update.vbs 파일을 생성하고 최종적으로 특정 파일(jmmhvp.pif)을 통해 난독화된 파일(khugi.hel) 읽어와 악성 행위를 수행합니다. 

 

 

CreateObject("WScript.Shell").Run "C:\Users\[사용자명]\AppData\Roaming\57837738\jmmhvp.pif C:\Users\[사용자명]\AppData\Roaming\57837738\khugi.hel"

[표1] 생성되는  Updata.vbs 파일

 

 

[그림 5] 레지스트리 등록 화면

 

 

[그림 6] 난독화 되어있는 khugi.hel 파일

 

 

최종적으로 실행되는 khugi.hel 파일은 NanoCore RAT으로 공격자의 서버로부터 명령을 받아 사용자 PC를 원격제어 할 수 있습니다. 원격제어를 통하여 키로깅, 스크린샷 캡처 및 계정 정보 수집과 같은 다양한 기능들을 수행할 수 있습니다. 

 

 

[그림 7] 최종 실행되는 nanocore

 

 

C&C정보

ip

185.19.85[.]175

 

도메인

strongodss[.]ddns.net

 

 

최근 이메일 내용 부분에 아무런 내용 없이 링크가 포함된 이미지만 포함되어 발송되는 방식이 주기적으로 확인되고 있는만큼, 사용자들의 각별한 주의가 필요합니다. 

 

이러한 이메일을 수신한 사용자들은 마우스를 이미지 위로 이동시켜 이미지 내 링크가 포함되어 있는지 확인하고, 링크가 포함되어 있을 경우 클릭을 하지 마시기를 권고 드립니다. 

 

현재 알약에서는 해당 악성코드에 대해 Backdoor.RAT.MSIL.NanoCore로 탐지중에 있습니다. 

 

 

 

 

 

관련글 더보기

댓글 영역