分類
Information Security

NanoCore 惡意軟件信息

概要

NanoCore 遠程訪問木馬 (RAT) 於 2013 年首次在地下論壇上出售時被發現。該惡意軟件具有多種功能,例如鍵盤記錄器、密碼竊取器,可以遠程將數據傳遞給惡意軟件操作員。它還能夠篡改和查看來自網絡攝像頭的鏡頭、屏幕鎖定、下載和盜竊文件等。

當前的 NanoCore RAT 正在通過利用社會工程的惡意垃圾郵件活動傳播,其中電子郵件包含虛假的銀行付款收據和報價請求。這些電子郵件還包含帶有 .img 或 .iso 擴展名的惡意附件。磁盤映像文件使用 .img 和 .iso 文件來存儲磁盤或光盤的原始轉儲。另一個版本的 NanoCore 也在利用特製 ZIP 文件的網絡釣魚活動中分發,該 ZIP 文件旨在繞過安全電子郵件網關。某些版本的 PowerArchiver、WinRar 和較舊的 7-Zip 可以提取惡意 ZIP 文件。被盜信息被發送到惡意軟件攻擊者的命令和控制 (C&C) 服務器。

此 RAT 收集以下數據並將其發送到其服務器:

  • 瀏覽器的用戶名和密碼
  • 文件傳輸協議 (FTP) 客戶端或文件管理器軟件存儲的帳戶信息
  • 流行郵件客戶端的電子郵件憑據

能力:

  • 信息竊取
  • 後門命令
  • 漏洞利用
  • 禁用使用能力

影響:

  • 危害系統安全 – 具有可以執行惡意命令的後門功能
  • 侵犯用戶隱私 – 收集用戶憑據、記錄擊鍵並竊取用戶信息

感染詳情:

樣本垃圾郵件 – 銀行付款收據附件垃圾郵件

MITRE ATT & CK 矩陣

資料來源:https://success.trendmicro.com/tw/solution/1122912-nanocore-malware-information

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品等專業證照。此外,平常除了喜歡透過ITHelp平台及個人部落格分享文章,亦常擔任社群活動主辦者及志工,連結資安同好聯誼及共好學習,並協助對於CISSP有興趣的同學與同好準備認證考試。