상세 컨텐츠

본문 제목

실제 공격에서 발견된 은밀하고 새로운 Nerbian RAT 악성코드

국내외 보안동향

by 알약4 2022. 5. 12. 14:00

본문

New stealthy Nerbian RAT malware spotted in ongoing attacks

 

연구원의 탐지 및 분석을 회피하는 등 다양한 기능을 포함한 새로운 원격 액세스 트로이 목마인 Nerbian RAT이 발견되었습니다.

 

이 새로운 악성코드 변종은 Go로 작성되었으며, 크로스 플랫폼 64비트 공격으로 현재 매크로가 삽입된 파일을 첨부한 악성 이메일을 배포하는 소규모 캠페인을 통해 배포되고 있습니다.

 

해당 이메일 캠페인은 Proofpoint 연구원이 발견했으며, 새로운 Nerbian RAT 악성코드에 대한 보고서가 공개되었습니다.

 

WHO 사칭해

 

Nerbian RAT를 배포하는 악성코드 캠페인은 세계보건기구(WHO)를 사칭해 타깃에 코로나 19 관련 정보를 전송하겠다고 주장했습니다.

 

 

<이미지 출처 : https://www.proofpoint.com/us/blog/threat-insight/nerbian-rat-using-covid-19-themes-features-sophisticated-evasion-techniques>

<최근 캠페인에서 발견된 피싱 이메일>

 

 

RAR 첨부 파일에는 악성 매크로 코드가 포함된 Word 문서가 포함되어 있어 콘텐츠가 "활성화됨"으로 설정된 Microsoft Office에서 해당 파일을 오픈할 경우 bat 파일은 PowerShell 실행 단계를 수행한 후 64비트 드롭퍼를 다운로드합니다.

 

드로퍼인 "UpdateUAV.exe" 또한 Golang으로 작성되었으며, 관리 가능한 크기를 유지하기 위해 UPX로 포장되어 있습니다.

 

UpdateUAV는 다양한 GitHub 프로젝트의 코드를 재사용해 Nerbian RAT가 배포되기 전 다양한 분석 방지 및 탐지 회피 메커니즘을 사용합니다.

 

이 외에도, 드로퍼는 매시간 RAT를 시작하는 예약 작업을 생성해 지속성을 얻습니다.

 

Proofpoint는 분석 방지 툴을 확인하기 위한 방법을 아래와 같이 요약했습니다.

 

- 프로세스 목록에 리버스 엔지니어링 또는 디버깅 프로그램이 있는지 확인하기

- 의심스러운 MAC 주소 확인하기

- WMI 문자열을 확인하여 디스크 이름이 합법적인지 확인하기

- 하드 디스크 크기가 가상 머신의 일반적인 크기인 100GB 미만인지 확인하기

- 프로세스 목록에 메모리 분석 또는 변조 감지 프로그램이 있는지 확인하기

- 실행 후 경과된 시간을 확인하고 설정된 임계값과 비교하기

- IsDebuggerPresent API를 사용하여 실행 파일이 디버깅 중인지 확인하기

 

Nerbian RAT의 기능

 

트로이 목마는 "MoUsoCore.exe"로 다운로드되어 "C:\ProgramData\USOSShared\"에 저장됩니다. 여러 기능을 지원하지만 운영자는 일부 기능을 사용해 이를 구성할 수 있습니다.

 

주목할만한 기능 중 두 가지는 키 입력을 암호화된 형식으로 저장하는 키로거와 모든 OS 플랫폼에서 작동하는 화면 캡처 툴입니다.

 

C2 서버와의 통신은 SSL(Secure Sockets Layer)을 통해 처리되므로 모든 데이터 교환은 암호화되고 네트워크 스캐닝 도구의 전송 중 검사로부터 보호됩니다.

 

 

<이미지 출처 : https://www.proofpoint.com/us/blog/threat-insight/nerbian-rat-using-covid-19-themes-features-sophisticated-evasion-techniques>

<전체 감염 프로세스>

 

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.Khalesi.gen’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-stealthy-nerbian-rat-malware-spotted-in-ongoing-attacks/

https://www.proofpoint.com/us/blog/threat-insight/nerbian-rat-using-covid-19-themes-features-sophisticated-evasion-techniques (IOC)

 

관련글 더보기

댓글 영역