הצעת הנחה מרובה רישיונות
מסד נתונים של איומים דלתות אחוריות NANOREMOTE Backdoor

NANOREMOTE Backdoor

עד Mezo ב-דלתות אחוריות, איום מתמשך מתקדם (APT)
לתרגם ל:

חוקרי אבטחת סייבר חשפו דלת אחורית מלאה של Windows בשם NANOREMOTE, המשתמשת בממשק ה-API של Google Drive לפעולות פיקוד ובקרה (C2) שלה. תוכנה זדונית זו מציגה יכולות מתוחכמות לחילוץ נתונים ופעולות מרחוק, מה שהופך אותה לאיום משמעותי על ארגונים ממוקדים.

קישורים לפעילות איומים קודמת

ל-NANOREMOTE יש קווי דמיון בולטים בקוד עם שתל אחר, המכונה FINALDRAFT (המכונה גם Squidoor), המשתמש ב-Microsoft Graph API עבור C2. FINALDRAFT מיוחס לאשכול איומים בשם REF7707 (הידוע גם בשם CL-STA-0049, Earth Alux ו-Jewelbug).

REF7707 נחשבת לקבוצת ריגול סייבר סינית החשודה, אשר כיוונה ל:

  • סוכנויות ממשלתיות
  • ארגוני הגנה
  • חברות תקשורת
  • מוסדות חינוך
  • מגזרי התעופה

פעילות הקבוצה נצפתה בדרום מזרח אסיה ובדרום אמריקה מאז מרץ 2023. ראוי לציין כי באוקטובר 2025 קישרו חוקרים את REF7707 לפריצה בת חמישה חודשים נגד ספק שירותי IT רוסי.

יכולות וארכיטקטורה של תוכנות זדוניות

הפונקציונליות המרכזית של NANOREMOTE סובבת סביב מינוף ממשק ה-API של Google Drive הן עבור חילוץ נתונים והן עבור אחסון מטענים, ויוצרת ערוץ תקשורת דיסקרטי וקשה לזיהוי עבור תוקפים. מערכת ניהול המשימות שלה נועדה לתור העברות קבצים, לטפל בהשהיה ובחידוש של העברות אלו, לאפשר למפעילים לבטל פעולות מתמשכות וליצור אסימוני רענון כדי לשמור על פעילות מתמשכת.

הדלת האחורית עצמה בנויה ב-C++ ומסוגלת לבצע סיור נרחב על מארחים נגועים, לבצע קבצים ופקודות מערכת, ולהעביר נתונים בין סביבות פגועות ל-Google Drive. היא גם מקיימת תקשורת עם כתובת IP מקודדת קשיח שאינה ניתנת לניתוב באמצעות תעבורת HTTP סטנדרטית. במהלך תקשורת זו, נתוני JSON נשלחים דרך בקשות POST לאחר דחיסה עם Zlib והצפנה באמצעות AES-CBC עם מפתח של 16 בייט (558bec83ec40535657833d7440001c00). כל הבקשות היוצאות מסתמכות על הנתיב /api/client ומזהות את עצמן באמצעות מחרוזת NanoRemote/1.0 User-Agent.

הנוזקה מסתמכת על קבוצה של 22 פקודות המאפשרות לה יחד לאסוף מידע על המערכת, לטפל בקבצים ובספריות, להפעיל קבצי הפעלה ניידים שכבר קיימים בדיסק, לנקות נתונים המאוחסנים במטמון, לשלוט בהעברת קבצים אל Google Drive וממנו, ולסיים את הפעולה שלה כאשר ניתנה הוראה לכך.

שרשרת ההדבקה מתחילה עם טוען המכונה WMLOADER, למרות שהשיטה המשמשת להעברת NANOREMOTE לקורבנות נותרה לא ידועה. WMLOADER מתחזה לרכיב הטיפול בקריסות BDReinit.exe, קובץ המקושר בדרך כלל לכלי אבטחת סייבר לגיטימי, והוא אחראי על פענוח קוד המעטפת שבסופו של דבר מפעיל את הדלת האחורית.

משיקים את הדלת האחורית

ארטיפקט בשם wmsetup.log, שהתגלה בפיליפינים ב-3 באוקטובר 2025, ניתן לפענוח על ידי WMLOADER באמצעות אותו מפתח בן 16 בייט. יומן זה חשף שתל של FINALDRAFT, דבר המצביע על בסיס קוד וסביבת פיתוח משותפים בין FINALDRAFT ו-NANOREMOTE.

הנחת העבודה היא ש-WMLOADER משתמש באותו מפתח מקודד קשיח עקב שילובו בתהליך בנייה מאוחד שנועד לטפל במטענים מרובים.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
30,423
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...