Nanocore RAT er stadig en trussel og misbruger ny dDNS service

2024-01-08

Nanocore er et Remote Administration Tool (RAT) som har eksisteret siden 2012 og som blev solgt for sølle 25 dollars fra websiden nanocore.io.

Sidenhen i 2016 blev manden bag Nanocore RAT (Taylor Huddleson) anholdt, og i 2018 idømt en fængselsstraf på 33 måneder (https://www.bleepingcomputer.com/news/security/nanocore-rat-author-gets-33-months-in-prison/).

De omstændigheder afholder ikke dette software fra stadig at blive misbrugt af vilkårlige IT-kriminelle og mere avancerede angribere, eksempelvis APT33, som er en pro-russisk APT aktører som har udført talrige angreb mod Ukraine, Polen og andre mål i Vesten.

Faktum: Nanocore RAT var blandt de 10 mest persistente malware trusler mod Danmark i 2023.

Nanocore RAT kan findes online i en cracked version og som source kode, så alle kan anvende den til at kompromittere Microsoft Windows maskiner; fra script kiddies, til de der forstår af modificere koden og kompilere den til en ny variant.

Et par skærmdumps af Nanocore kontrolpanel med forskellige plugin optioner kan findes herunder:

Et frisk eksempel på et angreb med en Nanocore RAT variant version 1.2.2.0 er SHA256: 35633a1f615131b1e2d466cb9760431d4527845555fbcdd49a757cac6fca9f42

Denne variant spredes via e-amails som er pakket i forskellige arkivtyper som zip, rar, 7z osv. Der lokkes med regninger og pakker m.v.

Denne Nanocore RAT er konfigureret som følgende:

clear_access_control false
clear_zone_identifier false
connect_delay 4000
connection_port 56274
default_group Default
enable_debug_mode true
gc_threshold 1.048576e+07
keep_alive_timeout 30000
keyboard_logging false
lan_timeout 2500
max_packet_size 1.048576e+07
mutex ad57c3de-0c31-4b27-b9f1-6fedf52c8dda
mutex_timeout 5000
prevent_system_sleep false
primary_connection_host yourself-catholic.gl.at.ply[.]gg
primary_dns_server 8.8.8.8
request_elevation false
restart_delay 5000
run_delay 0
run_on_startup false
set_critical_process false
timeout_interval 5000
use_custom_dns_server false
version 1.2.2.0
wan_timeout 8000

Velkommen til ply.gg
Det interessante her er, at den følger en tendens, som begyndte i midten af december 2023, hvor dDNS servicen: ply[.]gg anvendes i flere kampagner rettet mod mål i vesten.

Jeg har tidligere skrevet om populære RATs der anvender dDNS her:
https://www.kruse.industries/l/top-10-ddns-med-malware-relationer-i-2023/

Hvis vi ser på friske Nanocore RATs, der anvender netop denne dDNS service, indenfor de seneste 7 dage, så finder vi følgende C&Cs (saniteret)

yourself-catholic.gl.at.ply[.]gg
links-transition.gl.at.ply[.]gg
protein-mailed.gl.at.ply[.]gg
days-bikes.gl.at.ply[.]gg
availability-inside.gl.at.ply[.]gg
april-calculator.gl.at.ply[.]gg
decision-dollar.gl.at.ply[.]gg
bring-adequate.gl.at.ply[.]gg
george-cas.gl.at.ply[.]gg
compare-textbook.gl.at.ply[.]gg
score-msn.gl.at.ply[.]gg
com-bg.gl.at.ply[.]gg
horse-undertake.gl.at.ply[.]gg
was-drag.gl.at.ply[.]gg
iraq-friday.gl.at.ply[.]gg
thank-oecd.gl.at.ply[.]gg
k-arrives.gl.at.ply[.]gg
is-modem.gl.at.ply[.]gg
india-singer.gl.at.ply[.]gg
html-group.gl.at.ply[.]gg
hi-dimensional.gl.at.ply[.]gg
error-casey.gl.at.ply[.]gg
develop-night.gl.at.ply[.]gg
copyright-spider.gl.at.ply[.]gg

Developed Methods Llc
De oversættes alle til 147.185.221.17:

United States Carson City Developed Methods Llc
AS400519 PLAYIT-GG, US (registered Mar 10, 2022)

OrgName: Developed Methods LLC
OrgId: DML-136
Address: 3827 S Carson St
Address: Unit 505-25 PMB 1150
City: Carson City
StateProv: NV
PostalCode: 89701
Country: US

Se diagram:

Denne server er vært for en sværm af andre RAT som f.eks.: njRAT, XWORM, AsyncRAT, Quasar RAT m.fl. Den anvendes både som distribution og som C&C.

Af andre friske Nanocore RATs, som er observeret indenfor de seneste 48 timer, finder vi (saniteret)

gintex.ddns[.]net
paradisesmp[.] xyz
myloremote.ddns[.] net:12567
kennynanobelintourismedleonline.dumb1[.] com
frankfurt1.perfect-privacy[.] com:40842
frankfurt2.perfect-privacy[.] com:40842
servicepoint.duckdns[.] org:6755
techpack.duckdns[.] org:6755
79.134.225[.] 115:21180
gintex.ddns[.] net:21180
79.134.225[.] 100
85.195.105[.] 85:7072
147.185.221[.] 17:41958
109.248.144[.] 199:1333
185.65.134[.]162:12567

Nanocore RAT
Denne RAT anvendes fortsat i meget udbredte men også målrettede angreb.

Alle IoCs kan anvendes frit til at beskytte infrastruktur mod denne trussel.