Задна вратичка NANOREMOTE
Изследователи по киберсигурност откриха пълнофункционална задна врата за Windows, наречена NANOREMOTE, която използва API на Google Drive за своите C2 (Command-and-Control) операции. Този зловреден софтуер показва усъвършенствани възможности за извличане на данни и отдалечени операции, което го прави сериозна заплаха за целевите организации.
Съдържание
Връзки към предишна активност, свързана със заплахи
NANOREMOTE споделя забележителни сходства в кода с друг имплант, известен като FINALDRAFT (наричан още Squidoor), който използва Microsoft Graph API за C2. FINALDRAFT се свързва с клъстер от заплахи, обозначен като REF7707 (известен също като CL-STA-0049, Earth Alux и Jewelbug).
Смята се, че REF7707 е предполагаема китайска група за кибершпионаж, чиито цели са били:
- Правителствени агенции
- Организации за отбрана
- Телекомуникационни компании
- Образователни институции
- Авиационни сектори
Активността на групата е наблюдавана в Югоизточна Азия и Южна Америка от март 2023 г. Забележително е, че през октомври 2025 г. изследователи свързаха REF7707 с петмесечно проникване срещу руски доставчик на ИТ услуги.
Възможности и архитектура за злонамерен софтуер
Основната функционалност на NANOREMOTE се върти около използването на Google Drive API както за извличане на данни, така и за разпределение на полезен товар, създавайки дискретен и труден за откриване комуникационен канал за атакуващите. Системата за управление на задачи е проектирана да поставя в опашка прехвърляния на файлове, да обработва паузирането и възобновяването на тези прехвърляния, да позволява на операторите да отменят текущи операции и да генерират токени за опресняване, за да поддържат постоянна активност.
Самата задна вратичка е изградена на C++ и е способна да извършва обширно разузнаване на заразени хостове, да изпълнява файлове и системни команди, както и да премества данни между компрометирани среди и Google Drive. Тя също така поддържа комуникация с твърдо кодиран, немаршрутизируем IP адрес, използвайки стандартен HTTP трафик. По време на тази комуникация, JSON данните се изпращат чрез POST заявки, след като са компресирани със Zlib и криптирани с помощта на AES-CBC с 16-байтов ключ (558bec83ec40535657833d7440001c00). Всички изходящи заявки разчитат на пътя /api/client и се идентифицират с помощта на низа NanoRemote/1.0 User-Agent.
Зловредният софтуер разчита на набор от 22 обработчика на команди, които заедно му позволяват да събира системна информация, да манипулира файлове и директории, да изпълнява преносими изпълними файлове, които вече са налични на диска, да изчиства кеширани данни, да контролира преместването на файлове към и от Google Drive и да прекратява собствената си операция, когато бъде инструктиран.
Веригата на заразяване започва с файл за зареждане, известен като WMLOADER, въпреки че методът, използван за доставяне на NANOREMOTE до жертвите, остава неизвестен. WMLOADER се маскира като компонента за обработка на сривове BDReinit.exe, файл, обикновено свързан с легитимен инструмент за киберсигурност, и е отговорен за декриптирането на шелкода, който в крайна сметка стартира задната вратичка.
Стартиране на задната врата
Артефакт с име wmsetup.log, открит във Филипините на 3 октомври 2025 г., може да бъде дешифриран от WMLOADER, използвайки същия 16-байтов ключ. Този лог разкри имплант FINALDRAFT, което предполага споделена кодова база и среда за разработка между FINALDRAFT и NANOREMOTE.
Работната хипотеза е, че WMLOADER използва един и същ твърдо кодиран ключ поради интеграцията му в унифициран процес на изграждане, предназначен за обработка на множество полезни товари.
