Nanocore RAT er stadig en trussel og misbruger ny dDNS service
Nanocore er et Remote Administration Tool (RAT) som har eksisteret siden 2012 og som blev solgt for sølle 25 dollars fra websiden nanocore.io.
Sidenhen i 2016 blev manden bag Nanocore RAT (Taylor Huddleson) anholdt, og i 2018 idømt en fængselsstraf på 33 måneder (https://www.bleepingcomputer.com/news/security/nanocore-rat-author-gets-33-months-in-prison/).
De omstændigheder afholder ikke dette software fra stadig at blive misbrugt af vilkårlige IT-kriminelle og mere avancerede angribere, eksempelvis APT33, som er en pro-russisk APT aktører som har udført talrige angreb mod Ukraine, Polen og andre mål i Vesten.
Faktum: Nanocore RAT var blandt de 10 mest persistente malware trusler mod Danmark i 2023.
Nanocore RAT kan findes online i en cracked version og som source kode, så alle kan anvende den til at kompromittere Microsoft Windows maskiner; fra script kiddies, til de der forstår af modificere koden og kompilere den til en ny variant.
Et par skærmdumps af Nanocore kontrolpanel med forskellige plugin optioner kan findes herunder:
Et frisk eksempel på et angreb med en Nanocore RAT variant version 1.2.2.0 er SHA256: 35633a1f615131b1e2d466cb9760431d4527845555fbcdd49a757cac6fca9f42
Denne variant spredes via e-amails som er pakket i forskellige arkivtyper som zip, rar, 7z osv. Der lokkes med regninger og pakker m.v.
Denne Nanocore RAT er konfigureret som følgende:
clear_access_control false
clear_zone_identifier false
connect_delay 4000
connection_port 56274
default_group Default
enable_debug_mode true
gc_threshold 1.048576e+07
keep_alive_timeout 30000
keyboard_logging false
lan_timeout 2500
max_packet_size 1.048576e+07
mutex ad57c3de-0c31-4b27-b9f1-6fedf52c8dda
mutex_timeout 5000
prevent_system_sleep false
primary_connection_host yourself-catholic.gl.at.ply[.]gg
primary_dns_server 8.8.8.8
request_elevation false
restart_delay 5000
run_delay 0
run_on_startup false
set_critical_process false
timeout_interval 5000
use_custom_dns_server false
version 1.2.2.0
wan_timeout 8000
Velkommen til ply.gg
Det interessante her er, at den følger en tendens, som begyndte i midten af december 2023, hvor dDNS servicen: ply[.]gg anvendes i flere kampagner rettet mod mål i vesten.
Jeg har tidligere skrevet om populære RATs der anvender dDNS her:
https://www.kruse.industries/l/top-10-ddns-med-malware-relationer-i-2023/
Hvis vi ser på friske Nanocore RATs, der anvender netop denne dDNS service, indenfor de seneste 7 dage, så finder vi følgende C&Cs (saniteret)
yourself-catholic.gl.at.ply[.]gg
links-transition.gl.at.ply[.]gg
protein-mailed.gl.at.ply[.]gg
days-bikes.gl.at.ply[.]gg
availability-inside.gl.at.ply[.]gg
april-calculator.gl.at.ply[.]gg
decision-dollar.gl.at.ply[.]gg
bring-adequate.gl.at.ply[.]gg
george-cas.gl.at.ply[.]gg
compare-textbook.gl.at.ply[.]gg
score-msn.gl.at.ply[.]gg
com-bg.gl.at.ply[.]gg
horse-undertake.gl.at.ply[.]gg
was-drag.gl.at.ply[.]gg
iraq-friday.gl.at.ply[.]gg
thank-oecd.gl.at.ply[.]gg
k-arrives.gl.at.ply[.]gg
is-modem.gl.at.ply[.]gg
india-singer.gl.at.ply[.]gg
html-group.gl.at.ply[.]gg
hi-dimensional.gl.at.ply[.]gg
error-casey.gl.at.ply[.]gg
develop-night.gl.at.ply[.]gg
copyright-spider.gl.at.ply[.]gg
Developed Methods Llc
De oversættes alle til 147.185.221.17:
United States Carson City Developed Methods Llc
AS400519 PLAYIT-GG, US (registered Mar 10, 2022)
OrgName: Developed Methods LLC
OrgId: DML-136
Address: 3827 S Carson St
Address: Unit 505-25 PMB 1150
City: Carson City
StateProv: NV
PostalCode: 89701
Country: US
Se diagram:
Denne server er vært for en sværm af andre RAT som f.eks.: njRAT, XWORM, AsyncRAT, Quasar RAT m.fl. Den anvendes både som distribution og som C&C.
Af andre friske Nanocore RATs, som er observeret indenfor de seneste 48 timer, finder vi (saniteret)
gintex.ddns[.]net
paradisesmp[.]
xyz
myloremote.ddns[.]
net:12567
kennynanobelintourismedleonline.dumb1[.]
com
frankfurt1.perfect-privacy[.]
com:40842
frankfurt2.perfect-privacy[.]
com:40842
servicepoint.duckdns[.]
org:6755
techpack.duckdns[.]
org:6755
79.134.225[.]
115:21180
gintex.ddns[.]
net:21180
79.134.225[.]
100
85.195.105[.]
85:7072
147.185.221[.]
17:41958
109.248.144[.]
199:1333
185.65.134[.]162:12567
Nanocore RAT
Denne RAT anvendes fortsat i meget udbredte men også målrettede angreb.
Alle IoCs kan anvendes frit til at beskytte infrastruktur mod denne trussel.