NANOREMOTE tagauks
Küberturvalisuse uurijad on avastanud täisfunktsionaalse Windowsi tagaukse nimega NANOREMOTE, mis kasutab oma käsklus- ja juhtimistoiminguteks Google Drive'i API-t. See pahavara pakub keerukaid võimalusi andmete väljaviimiseks ja kaugtoiminguteks, muutes selle sihtrühma kuuluvatele organisatsioonidele märkimisväärseks ohuks.
Sisukord
Lingid varasemale ohutegevusele
NANOREMOTE-l on märkimisväärseid koodisarnasusi teise implantaadiga, tuntud kui FINALDRAFT (tuntud ka kui Squidoor) ja mis kasutab C2 jaoks Microsoft Graph API-t. FINALDRAFT on seostatud ohuklastriga REF7707 (tuntud ka kui CL-STA-0049, Earth Alux ja Jewelbug).
Arvatakse, et REF7707 on Hiina küberspionaažirühmitus, mis on sihikule võtnud:
- Valitsusasutused
- Kaitseorganisatsioonid
- Telekommunikatsiooniettevõtted
- Haridusasutused
- Lennundussektorid
Grupi tegevust on Kagu-Aasias ja Lõuna-Ameerikas täheldatud alates 2023. aasta märtsist. Märkimisväärne on see, et 2025. aasta oktoobris seostasid teadlased REF7707 viiekuulise sissetungimisega Venemaa IT-teenuse pakkuja vastu.
Pahavara võimalused ja arhitektuur
NANOREMOTE'i põhifunktsioon seisneb Google Drive'i API kasutamises nii andmete väljavõtmiseks kui ka kasuliku koormuse ettevalmistamiseks, luues ründajatele diskreetse ja raskesti tuvastatava suhtluskanali. Selle ülesannete haldussüsteem on loodud failiedastuste järjekorda panemiseks, nende edastuste peatamiseks ja jätkamiseks, operaatoritel käimasolevate toimingute tühistamiseks võimaldamiseks ning värskendustokenide genereerimiseks püsiva tegevuse säilitamiseks.
Tagauks ise on ehitatud C++ keeles ja on võimeline teostama ulatuslikku luuret nakatunud hostides, käivitama faile ja süsteemikäsklusi ning liigutama andmeid ohustatud keskkondade ja Google Drive'i vahel. Samuti hoiab see ühendust kõvakodeeritud, mitte-marsruutitava IP-aadressiga, kasutades standardset HTTP-liiklust. Selle suhtluse ajal saadetakse JSON-andmed POST-päringute kaudu pärast seda, kui need on Zlib-iga tihendatud ja AES-CBC abil 16-baidise võtmega (558bec83ec40535657833d7440001c00) krüpteeritud. Kõik väljaminevad päringud tuginevad /api/client teele ja identifitseerivad end NanoRemote/1.0 kasutajaagendi stringi abil.
Pahavara tugineb 22 käsukäitlejale, mis kokku võimaldavad tal koguda süsteemiteavet, manipuleerida failide ja kataloogidega, käivitada kettal juba olevaid kaasaskantavaid käivitatavaid faile, tühjendada vahemällu salvestatud andmeid, juhtida failide liikumist Google Drive'i ja sealt tagasi ning lõpetada oma tegevuse vastavalt juhistele.
Nakatumise ahel algab laaduriga, mida tuntakse kui WMLOADER, kuigi meetod NANOREMOTE'i ohvriteni toimetamiseks on teadmata. WMLOADER maskeerub krahhide haldamise komponendiks BDReinit.exe, mis on tavaliselt seotud legitiimse küberturbetööriistaga ja vastutab tagaukse käivitava kestkoodi dekrüpteerimise eest.
Tagaukse käivitamine
Filipiinidelt 3. oktoobril 2025 avastatud artefakti nimega wmsetup.log saab WMLOADERiga dekrüpteerida sama 16-baidise võtme abil. See logi paljastas FINALDRAFT-i implantaadi, mis viitab jagatud koodibaasile ja arenduskeskkonnale FINALDRAFT-i ja NANOREMOTE-i vahel.
Tööhüpotees on, et WMLOADER kasutab sama kõvakodeeritud võtit tänu selle integreerimisele ühtsesse ehitusprotsessi, mis on loodud mitme kasuliku koormuse käsitlemiseks.
