ΝΑΝΟΤΗΛΕΧΕΙΡΙΣΜΟΣ Κερκόπορτα
Ερευνητές κυβερνοασφάλειας ανακάλυψαν ένα πλήρως εξοπλισμένο backdoor των Windows με το όνομα NANOREMOTE, το οποίο αξιοποιεί το API του Google Drive για τις λειτουργίες Command-and-Control (C2). Αυτό το κακόβουλο λογισμικό παρουσιάζει εξελιγμένες δυνατότητες για εξαγωγή δεδομένων και απομακρυσμένες λειτουργίες, καθιστώντας το σημαντική απειλή για στοχευμένους οργανισμούς.
Πίνακας περιεχομένων
Σύνδεσμοι προς προηγούμενη δραστηριότητα απειλής
Το NANOREMOTE μοιράζεται αξιοσημείωτες ομοιότητες κώδικα με ένα άλλο εμφύτευμα, γνωστό ως FINALDRAFT (επίσης γνωστό ως Squidoor), το οποίο χρησιμοποιεί το Microsoft Graph API για C2. Το FINALDRAFT αποδίδεται σε ένα σύμπλεγμα απειλών με την ονομασία REF7707 (επίσης γνωστό ως CL-STA-0049, Earth Alux και Jewelbug).
Η REF7707 πιστεύεται ότι είναι μια ύποπτη κινεζική ομάδα κυβερνοκατασκοπείας που έχει στοχεύσει:
- Κυβερνητικές υπηρεσίες
- Οργανισμοί άμυνας
- Εταιρείες τηλεπικοινωνιών
- Εκπαιδευτικά ιδρύματα
- Τομείς της αεροπορίας
Η δραστηριότητα της ομάδας έχει παρατηρηθεί στη Νοτιοανατολική Ασία και τη Νότια Αμερική από τον Μάρτιο του 2023. Αξίζει να σημειωθεί ότι τον Οκτώβριο του 2025, οι ερευνητές συνέδεσαν το REF7707 με μια πεντάμηνη εισβολή σε έναν Ρώσο πάροχο υπηρεσιών πληροφορικής.
Δυνατότητες και αρχιτεκτονική κακόβουλου λογισμικού
Η βασική λειτουργικότητα του NANOREMOTE περιστρέφεται γύρω από την αξιοποίηση του API του Google Drive τόσο για την εξαγωγή δεδομένων όσο και για την προετοιμασία του ωφέλιμου φορτίου, δημιουργώντας ένα διακριτικό και δύσκολο στην ανίχνευση κανάλι επικοινωνίας για τους εισβολείς. Το σύστημα διαχείρισης εργασιών του έχει σχεδιαστεί για να θέτει σε ουρά τις μεταφορές αρχείων, να χειρίζεται την παύση και τη συνέχιση αυτών των μεταφορών, να επιτρέπει στους χειριστές να ακυρώνουν τρέχουσες λειτουργίες και να δημιουργεί διακριτικά ανανέωσης για τη διατήρηση της μόνιμης δραστηριότητας.
Το ίδιο το backdoor είναι ενσωματωμένο σε C++ και είναι ικανό να εκτελεί εκτεταμένη αναγνώριση σε μολυσμένους κεντρικούς υπολογιστές, να εκτελεί αρχεία και εντολές συστήματος και να μετακινεί δεδομένα μεταξύ παραβιασμένων περιβαλλόντων και του Google Drive. Διατηρεί επίσης επικοινωνία με μια σκληρά κωδικοποιημένη, μη δρομολογήσιμη διεύθυνση IP χρησιμοποιώντας τυπική κίνηση HTTP. Κατά τη διάρκεια αυτής της επικοινωνίας, τα δεδομένα JSON αποστέλλονται μέσω αιτημάτων POST αφού συμπιεστούν με Zlib και κρυπτογραφηθούν χρησιμοποιώντας AES‑CBC με κλειδί 16 byte (558bec83ec40535657833d7440001c00). Όλα τα εξερχόμενα αιτήματα βασίζονται στη διαδρομή /api/client και αναγνωρίζονται χρησιμοποιώντας τη συμβολοσειρά NanoRemote/1.0 User-Agent.
Το κακόβουλο λογισμικό βασίζεται σε ένα σύνολο 22 χειριστών εντολών που συλλογικά του επιτρέπουν να συλλέγει πληροφορίες συστήματος, να χειρίζεται αρχεία και καταλόγους, να εκτελεί φορητά εκτελέσιμα αρχεία που υπάρχουν ήδη στο δίσκο, να διαγράφει δεδομένα στην προσωρινή μνήμη, να ελέγχει την μετακίνηση αρχείων από και προς το Google Drive και να τερματίζει τη δική του λειτουργία όταν του δοθεί εντολή.
Η αλυσίδα μόλυνσης ξεκινά με ένα πρόγραμμα φόρτωσης γνωστό ως WMLOADER, αν και η μέθοδος που χρησιμοποιείται για την παράδοση του NANOREMOTE στα θύματα παραμένει άγνωστη. Το WMLOADER μεταμφιέζεται ως το στοιχείο διαχείρισης σφαλμάτων BDReinit.exe, ένα αρχείο που συνήθως σχετίζεται με ένα νόμιμο εργαλείο κυβερνοασφάλειας, και είναι υπεύθυνο για την αποκρυπτογράφηση του shellcode που τελικά εκκινεί το backdoor.
Εκκίνηση της Κερκόπορτας
Ένα τεχνούργημα με το όνομα wmsetup.log, το οποίο ανακαλύφθηκε στις Φιλιππίνες στις 3 Οκτωβρίου 2025, μπορεί να αποκρυπτογραφηθεί από το WMLOADER χρησιμοποιώντας το ίδιο κλειδί 16 byte. Αυτό το αρχείο καταγραφής αποκάλυψε ένα εμφύτευμα FINALDRAFT, υποδηλώνοντας μια κοινή βάση κώδικα και περιβάλλον ανάπτυξης μεταξύ του FINALDRAFT και του NANOREMOTE.
Η λειτουργική υπόθεση είναι ότι το WMLOADER χρησιμοποιεί το ίδιο ενσωματωμένο κλειδί λόγω της ενσωμάτωσής του σε μια ενοποιημένη διαδικασία κατασκευής που έχει σχεδιαστεί για να χειρίζεται πολλαπλά ωφέλιμα φορτία.
