NANOREMOTE Backdoor
كشف باحثو الأمن السيبراني عن ثغرة أمنية متطورة في نظام ويندوز تُدعى NANOREMOTE، تستغل واجهة برمجة تطبيقات جوجل درايف للتحكم والسيطرة. يتميز هذا البرنامج الخبيث بقدرات متقدمة في سرقة البيانات والعمليات عن بُعد، مما يجعله تهديدًا كبيرًا للمؤسسات المستهدفة.
جدول المحتويات
روابط لأنشطة التهديدات السابقة
يشترك برنامج NANOREMOTE في أوجه تشابه ملحوظة في التعليمات البرمجية مع برنامج زرع آخر، يُعرف باسم FINALDRAFT (ويشار إليه أيضًا باسم Squidoor)، والذي يستخدم واجهة برمجة تطبيقات Microsoft Graph للتحكم والسيطرة. يُنسب برنامج FINALDRAFT إلى مجموعة تهديدات تحمل اسم REF7707 (المعروفة أيضًا باسم CL-STA-0049 وEarth Alux وJewelbug).
يُعتقد أن REF7707 هي مجموعة تجسس إلكتروني صينية مشتبه بها استهدفت ما يلي:
- الهيئات الحكومية
- منظمات الدفاع
- شركات الاتصالات
- المؤسسات التعليمية
- قطاعات الطيران
وقد لوحظ نشاط المجموعة في جنوب شرق آسيا وأمريكا الجنوبية منذ مارس 2023. والجدير بالذكر أنه في أكتوبر 2025، ربط الباحثون REF7707 باختراق استمر خمسة أشهر ضد مزود خدمة تكنولوجيا المعلومات الروسي.
قدرات البرمجيات الخبيثة وبنيتها
تتمحور الوظيفة الأساسية لبرنامج NANOREMOTE حول الاستفادة من واجهة برمجة تطبيقات Google Drive لاستخراج البيانات وتخزين الحمولة، مما يُنشئ قناة اتصال سرية يصعب على المهاجمين اكتشافها. صُمم نظام إدارة المهام الخاص به لتنظيم عمليات نقل الملفات، والتعامل مع إيقافها مؤقتًا واستئنافها، والسماح للمشغلين بإلغاء العمليات الجارية، وإنشاء رموز تحديث للحفاظ على النشاط المستمر.
تم بناء الباب الخلفي بلغة C++، وهو قادر على إجراء استطلاع شامل للأجهزة المصابة، وتنفيذ الملفات وأوامر النظام، ونقل البيانات بين البيئات المخترقة وخدمة Google Drive. كما أنه يحافظ على اتصال مع عنوان IP ثابت غير قابل للتوجيه باستخدام حركة مرور HTTP القياسية. خلال هذا الاتصال، تُرسل بيانات JSON عبر طلبات POST بعد ضغطها باستخدام Zlib وتشفيرها باستخدام AES-CBC بمفتاح 16 بايت (558bec83ec40535657833d7440001c00). تعتمد جميع الطلبات الصادرة على المسار /api/client وتُعرّف نفسها باستخدام سلسلة وكيل المستخدم NanoRemote/1.0.
يعتمد البرنامج الخبيث على مجموعة من 22 معالج أوامر تمكنه بشكل جماعي من جمع معلومات النظام، والتلاعب بالملفات والمجلدات، وتنفيذ الملفات القابلة للتنفيذ المحمولة الموجودة بالفعل على القرص، ومسح البيانات المخزنة مؤقتًا، والتحكم في نقل الملفات من وإلى Google Drive، وإنهاء عملياته الخاصة عند تلقي التعليمات.
تبدأ سلسلة العدوى ببرنامج تحميل يُعرف باسم WMLOADER، على الرغم من أن الطريقة المستخدمة لإيصال برنامج NANOREMOTE إلى الضحايا لا تزال مجهولة. يتنكر WMLOADER في هيئة مكون معالجة الأعطال BDReinit.exe، وهو ملف يرتبط عادةً بأداة أمن سيبراني شرعية، وهو المسؤول عن فك تشفير الشفرة الخبيثة التي تُشغّل الباب الخلفي في نهاية المطاف.
إطلاق الباب الخلفي
تم اكتشاف ملف wmsetup.log في الفلبين بتاريخ 3 أكتوبر 2025، ويمكن فك تشفيره باستخدام برنامج WMLOADER ومفتاح واحد بطول 16 بايت. كشف هذا الملف عن وجود برمجية خبيثة مزروعة في برنامج FINALDRAFT، مما يشير إلى وجود قاعدة بيانات مشتركة وبيئة تطوير مشتركة بين برنامجي FINALDRAFT وNANOREMOTE.
الفرضية العملية هي أن WMLOADER يستخدم نفس المفتاح المضمن في الكود بسبب تكامله في عملية بناء موحدة مصممة للتعامل مع حمولات متعددة.
