NANOREMOTE Backdoor

সাইবার নিরাপত্তা গবেষকরা NANOREMOTE নামে একটি সম্পূর্ণ বৈশিষ্ট্যযুক্ত উইন্ডোজ ব্যাকডোর আবিষ্কার করেছেন, যা তার কমান্ড-এন্ড-কন্ট্রোল (C2) অপারেশনের জন্য Google ড্রাইভ API ব্যবহার করে। এই ম্যালওয়্যারটি ডেটা এক্সফিল্ট্রেশন এবং রিমোট অপারেশনের জন্য অত্যাধুনিক ক্ষমতা প্রদর্শন করে, যা এটিকে লক্ষ্যবস্তু সংস্থাগুলির জন্য একটি উল্লেখযোগ্য হুমকি করে তোলে।

পূর্ববর্তী হুমকি কার্যকলাপের লিঙ্ক

ন্যানোরেমোট আরেকটি ইমপ্ল্যান্টের সাথে উল্লেখযোগ্য কোড মিল ভাগ করে, যা FINALDRAFT (যাকে Squidoorও বলা হয়), যা C2 এর জন্য Microsoft Graph API ব্যবহার করে। FINALDRAFT একটি হুমকি ক্লাস্টারের সাথে সম্পর্কিত যা REF7707 (যা CL-STA-0049, Earth Alux এবং Jewelbug নামেও পরিচিত) মনোনীত।

REF7707 একটি সন্দেহভাজন চীনা সাইবার গুপ্তচরবৃত্তি গোষ্ঠী বলে মনে করা হচ্ছে যারা লক্ষ্যবস্তু করেছে:

• সরকারি সংস্থা
• প্রতিরক্ষা সংস্থা
• টেলিযোগাযোগ কোম্পানি
• শিক্ষা প্রতিষ্ঠান
• বিমান পরিবহন খাত

২০২৩ সালের মার্চ মাস থেকে দক্ষিণ-পূর্ব এশিয়া এবং দক্ষিণ আমেরিকায় এই গোষ্ঠীর কার্যকলাপ লক্ষ্য করা যাচ্ছে। উল্লেখযোগ্যভাবে, ২০২৫ সালের অক্টোবরে, গবেষকরা REF7707 কে একটি রাশিয়ান আইটি পরিষেবা প্রদানকারীর বিরুদ্ধে পাঁচ মাসের অনুপ্রবেশের সাথে যুক্ত করেছিলেন।

ম্যালওয়্যার ক্ষমতা এবং স্থাপত্য

ন্যানোরেমোটের মূল কার্যকারিতা হলো ডেটা এক্সফিল্ট্রেশন এবং পেলোড স্টেজিং উভয়ের জন্য গুগল ড্রাইভ এপিআই ব্যবহার করা, আক্রমণকারীদের জন্য একটি গোপন এবং সনাক্ত করা কঠিন যোগাযোগ চ্যানেল তৈরি করা। এর টাস্ক ম্যানেজমেন্ট সিস্টেমটি ফাইল ট্রান্সফার সারিবদ্ধ করার জন্য, সেই ট্রান্সফারগুলির বিরতি এবং পুনঃসূচনা পরিচালনা করার জন্য, অপারেটরদের চলমান ক্রিয়াকলাপ বাতিল করার অনুমতি দেওয়ার জন্য এবং অবিরাম কার্যকলাপ বজায় রাখার জন্য রিফ্রেশ টোকেন তৈরি করার জন্য ডিজাইন করা হয়েছে।

ব্যাকডোরটি নিজেই C++ তে তৈরি এবং সংক্রামিত হোস্টগুলিতে ব্যাপক অনুসন্ধান, ফাইল এবং সিস্টেম কমান্ড কার্যকর করতে এবং আপোস করা পরিবেশ এবং Google ড্রাইভের মধ্যে ডেটা স্থানান্তর করতে সক্ষম। এটি স্ট্যান্ডার্ড HTTP ট্র্যাফিক ব্যবহার করে একটি হার্ড-কোডেড, নন-রাউটেবল IP ঠিকানার সাথে যোগাযোগ বজায় রাখে। এই যোগাযোগের সময়, JSON ডেটা Zlib দিয়ে সংকুচিত করার পরে POST অনুরোধের মাধ্যমে পাঠানো হয় এবং AES-CBC ব্যবহার করে 16-বাইট কী (558bec83ec40535657833d7440001c00) ব্যবহার করে এনক্রিপ্ট করা হয়। সমস্ত আউটবাউন্ড অনুরোধ /api/client পাথের উপর নির্ভর করে এবং NanoRemote/1.0 ব্যবহারকারী-এজেন্ট স্ট্রিং ব্যবহার করে নিজেদের সনাক্ত করে।

এই ম্যালওয়্যারটি ২২টি কমান্ড হ্যান্ডলারের উপর নির্ভর করে যা সম্মিলিতভাবে এটিকে সিস্টেমের তথ্য সংগ্রহ করতে, ফাইল এবং ডিরেক্টরিগুলি পরিচালনা করতে, ডিস্কে ইতিমধ্যে উপস্থিত পোর্টেবল এক্সিকিউটেবল ফাইলগুলি কার্যকর করতে, ক্যাশে করা ডেটা সাফ করতে, গুগল ড্রাইভে এবং থেকে ফাইলগুলির চলাচল নিয়ন্ত্রণ করতে এবং নির্দেশিত হলে নিজস্ব ক্রিয়াকলাপ বন্ধ করতে সক্ষম করে।

সংক্রমণ শৃঙ্খলটি WMLOADER নামে পরিচিত একটি লোডার দিয়ে শুরু হয়, যদিও ভুক্তভোগীদের কাছে NANOREMOTE পৌঁছে দেওয়ার পদ্ধতিটি এখনও অজানা। WMLOADER ক্র্যাশ-হ্যান্ডলিং উপাদান BDReinit.exe হিসাবে ছদ্মবেশ ধারণ করে, যা সাধারণত একটি বৈধ সাইবার নিরাপত্তা সরঞ্জামের সাথে সম্পর্কিত একটি ফাইল, এবং শেলকোড ডিক্রিপ্ট করার জন্য দায়ী যা শেষ পর্যন্ত ব্যাকডোর চালু করে।

ব্যাকডোর চালু করা হচ্ছে

৩রা অক্টোবর, ২০২৫ তারিখে ফিলিপাইনে আবিষ্কৃত wmsetup.log নামের একটি আর্টিফ্যাক্ট, একই ১৬-বাইট কী ব্যবহার করে WMLOADER দ্বারা ডিক্রিপ্ট করা যেতে পারে। এই লগটি একটি FINALDRAFT ইমপ্লান্ট প্রকাশ করেছে, যা FINALDRAFT এবং NANOREMOTE এর মধ্যে একটি ভাগ করা কোডবেস এবং উন্নয়ন পরিবেশের ইঙ্গিত দেয়।

কার্যকরী অনুমান হল যে WMLOADER একই হার্ড-কোডেড কী ব্যবহার করে কারণ এটি একাধিক পেলোড পরিচালনা করার জন্য ডিজাইন করা একটি ইউনিফাইড বিল্ড প্রক্রিয়ায় একীভূত হয়।