NANOREMOTE hátsó ajtó
Kiberbiztonsági kutatók lelepleztek egy NANOREMOTE nevű, teljes értékű Windows hátsó ajtót, amely a Google Drive API-t használja a parancs- és vezérlési (C2) műveleteihez. Ez a rosszindulatú program kifinomult képességekkel rendelkezik az adatlopáshoz és a távoli műveletekhez, így jelentős fenyegetést jelent a célzott szervezetekre.
Tartalomjegyzék
Linkek korábbi fenyegetési tevékenységekhez
A NANOREMOTE jelentős kódbeli hasonlóságokat mutat egy másik implantátummal, a FINALDRAFT-tal (más néven Squidoor), amely a Microsoft Graph API-t használja a C2-höz. A FINALDRAFT egy REF7707 jelzésű fenyegetésklaszterhez tartozik (más néven CL-STA-0049, Earth Alux és Jewelbug).
A REF7707-et feltételezhetően egy kínai kiberkémkedési csoportnak tekintik, amely a következőket vette célba:
- Kormányzati szervek
- Védelmi szervezetek
- Távközlési vállalatok
- Oktatási intézmények
- Légiközlekedési ágazatok
A csoport tevékenységét 2023 márciusa óta figyelik Délkelet-Ázsiában és Dél-Amerikában. Nevezetesen, hogy 2025 októberében a kutatók a REF7707-et egy orosz IT-szolgáltató elleni öt hónapos behatoláshoz kötötték.
Kártevő képességek és architektúra
A NANOREMOTE alapvető funkciója a Google Drive API kihasználása mind az adatlopáshoz, mind a hasznos adatok előkészítéséhez, diszkrét és nehezen észlelhető kommunikációs csatornát hozva létre a támadók számára. Feladatkezelő rendszere a fájlátvitelek sorba állítására, az átvitelek szüneteltetésének és folytatásának kezelésére, a kezelők számára a folyamatban lévő műveletek megszakításának lehetővé tételére, valamint frissítési tokenek generálására szolgál a folyamatos tevékenység fenntartása érdekében.
Maga a hátsó ajtó C++ nyelven készült, és képes kiterjedt felderítésre a fertőzött gazdagépeken, fájlok és rendszerparancsok végrehajtására, valamint adatok mozgatására a feltört környezetek és a Google Drive között. Emellett egy fixen kódolt, nem irányítható IP-címmel kommunikál szabványos HTTP forgalmat használva. E kommunikáció során a JSON adatokat POST kéréseken keresztül küldi, miután Zlib-bel tömörítették és AES-CBC-vel titkosították egy 16 bájtos kulccsal (558bec83ec40535657833d7440001c00). Minden kimenő kérés a /api/client elérési útra támaszkodik, és a NanoRemote/1.0 User-Agent karakterlánccal azonosítja magát.
A rosszindulatú program 22 parancskezelőre támaszkodik, amelyek együttesen lehetővé teszik számára a rendszerinformációk gyűjtését, fájlok és könyvtárak kezelését, a lemezen már található hordozható futtatható fájlok végrehajtását, a gyorsítótárazott adatok törlését, a fájlok Google Drive-ba és Drive-ról történő mozgatásának vezérlését, valamint saját működésének leállítását, amikor utasítást kap.
A fertőzési lánc egy WMLOADER nevű betöltővel kezdődik, bár a NANOREMOTE áldozatokhoz juttatásának módszere továbbra sem ismert. A WMLOADER a BDReinit.exe összeomláskezelő komponensnek álcázza magát, amely egy jellemzően egy legitim kiberbiztonsági eszközhöz tartozó fájl, és felelős a hátsó ajtót végül elindító shellkód visszafejtéséért.
A hátsó ajtó elindítása
Egy wmsetup.log nevű tárgyat, amelyet 2025. október 3-án fedeztek fel a Fülöp-szigeteken, a WMLOADER ugyanazzal a 16 bájtos kulccsal képes visszafejteni. Ez a napló egy FINALDRAFT beültetést tárt fel, ami a FINALDRAFT és a NANOREMOTE közötti közös kódbázisra és fejlesztői környezetre utal.
A munkahypotézis az, hogy a WMLOADER ugyanazt a fixen kódolt kulcsot használja, mivel egy egységes építési folyamatba van integrálva, amelyet több hasznos adat kezelésére terveztek.
