ទ្វារក្រោយ NANOREMOTE
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញច្រកខាងក្រោយ Windows ដែលមានមុខងារពេញលេញមួយដែលមានឈ្មោះថា NANOREMOTE ដែលទាញយកអត្ថប្រយោជន៍ពី Google Drive API សម្រាប់ប្រតិបត្តិការ Command-and-Control (C2) របស់វា។ មេរោគនេះបង្ហាញពីសមត្ថភាពទំនើបសម្រាប់ការលួចយកទិន្នន័យ និងប្រតិបត្តិការពីចម្ងាយ ដែលធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងយ៉ាងសំខាន់ដល់អង្គការគោលដៅ។
តារាងមាតិកា
តំណភ្ជាប់ទៅកាន់សកម្មភាពគំរាមកំហែងពីមុន
NANOREMOTE ចែករំលែកភាពស្រដៀងគ្នានៃកូដគួរឱ្យកត់សម្គាល់ជាមួយនឹងការបង្កប់មួយផ្សេងទៀត ដែលគេស្គាល់ថាជា FINALDRAFT (ហៅម្យ៉ាងទៀតថា Squidoor) ដែលប្រើប្រាស់ Microsoft Graph API សម្រាប់ C2។ FINALDRAFT ត្រូវបានសន្មតថាជាចង្កោមគំរាមកំហែងដែលត្រូវបានកំណត់ REF7707 (ដែលគេស្គាល់ផងដែរថាជា CL-STA-0049, Earth Alux និង Jewelbug)។
REF7707 ត្រូវបានគេជឿថាជាក្រុមចារកម្មតាមអ៊ីនធឺណិតរបស់ចិនដែលសង្ស័យថាបានកំណត់គោលដៅ៖
- ភ្នាក់ងាររដ្ឋាភិបាល
- អង្គការការពារជាតិ
- ក្រុមហ៊ុនទូរគមនាគមន៍
- ស្ថាប័នអប់រំ
- វិស័យអាកាសចរណ៍
សកម្មភាពរបស់ក្រុមនេះត្រូវបានគេសង្កេតឃើញនៅអាស៊ីអាគ្នេយ៍ និងអាមេរិកខាងត្បូងចាប់តាំងពីខែមីនា ឆ្នាំ២០២៣។ ជាពិសេស នៅក្នុងខែតុលា ឆ្នាំ២០២៥ អ្នកស្រាវជ្រាវបានភ្ជាប់ REF7707 ទៅនឹងការឈ្លានពានរយៈពេលប្រាំខែប្រឆាំងនឹងអ្នកផ្តល់សេវា IT របស់រុស្ស៊ី។
សមត្ថភាព និងស្ថាបត្យកម្មមេរោគ
មុខងារស្នូលរបស់ NANOREMOTE ផ្តោតជុំវិញការប្រើប្រាស់ Google Drive API សម្រាប់ទាំងការលួចយកទិន្នន័យ និងការរៀបចំ payload ដោយបង្កើតបណ្តាញទំនាក់ទំនងដ៏សម្ងាត់ និងពិបាករកឃើញសម្រាប់អ្នកវាយប្រហារ។ ប្រព័ន្ធគ្រប់គ្រងភារកិច្ចរបស់វាត្រូវបានរចនាឡើងដើម្បីរៀបចំជួរនៃការផ្ទេរឯកសារ ដោះស្រាយការផ្អាក និងការបន្តនៃការផ្ទេរទាំងនោះ អនុញ្ញាតឱ្យប្រតិបត្តិករលុបចោលប្រតិបត្តិការដែលកំពុងដំណើរការ និងបង្កើតសញ្ញាសម្ងាត់ធ្វើឱ្យស្រស់ដើម្បីរក្សាសកម្មភាពជាប់លាប់។
ទ្វារខាងក្រោយខ្លួនវាត្រូវបានបង្កើតឡើងនៅក្នុងភាសា C++ ហើយមានសមត្ថភាពធ្វើការឈ្លបយកការណ៍យ៉ាងទូលំទូលាយលើម៉ាស៊ីនដែលឆ្លងមេរោគ ប្រតិបត្តិឯកសារ និងពាក្យបញ្ជាប្រព័ន្ធ និងផ្លាស់ទីទិន្នន័យរវាងបរិស្ថានដែលរងការសម្របសម្រួល និង Google Drive។ វាក៏រក្សាការទំនាក់ទំនងជាមួយអាសយដ្ឋាន IP ដែលមិនអាចកំណត់ផ្លូវបានដោយប្រើចរាចរណ៍ HTTP ស្តង់ដារ។ ក្នុងអំឡុងពេលទំនាក់ទំនងនេះ ទិន្នន័យ JSON ត្រូវបានផ្ញើតាមរយៈសំណើ POST បន្ទាប់ពីត្រូវបានបង្ហាប់ជាមួយ Zlib និងអ៊ិនគ្រីបដោយប្រើ AES-CBC ជាមួយនឹងសោ 16 បៃ (558bec83ec40535657833d7440001c00)។ សំណើចេញទាំងអស់ពឹងផ្អែកលើផ្លូវ /api/client ហើយកំណត់អត្តសញ្ញាណខ្លួនឯងដោយប្រើខ្សែអក្សរ NanoRemote/1.0 User-Agent។
មេរោគនេះពឹងផ្អែកលើសំណុំនៃឧបករណ៍ដោះស្រាយពាក្យបញ្ជាចំនួន 22 ដែលអាចឱ្យវាប្រមូលព័ត៌មានប្រព័ន្ធ រៀបចំឯកសារ និងថតឯកសារ ប្រតិបត្តិឯកសារដែលអាចប្រតិបត្តិបានដែលមានរួចហើយនៅលើថាស សម្អាតទិន្នន័យដែលបានរក្សាទុកក្នុងឃ្លាំងសម្ងាត់ គ្រប់គ្រងចលនាឯកសារទៅ និងមកពី Google Drive និងបញ្ចប់ប្រតិបត្តិការរបស់វានៅពេលដែលត្រូវបានណែនាំឱ្យធ្វើ។
ខ្សែសង្វាក់នៃការឆ្លងមេរោគចាប់ផ្តើមជាមួយនឹងកម្មវិធីផ្ទុកមេរោគមួយដែលមានឈ្មោះថា WMLOADER ទោះបីជាវិធីសាស្ត្រដែលប្រើដើម្បីបញ្ជូន NANOREMOTE ទៅជនរងគ្រោះនៅមិនទាន់ដឹងក៏ដោយ។ WMLOADER ក្លែងបន្លំជាសមាសធាតុដោះស្រាយការគាំង BDReinit.exe ដែលជាឯកសារដែលជាធម្មតាត្រូវបានភ្ជាប់ជាមួយឧបករណ៍សុវត្ថិភាពតាមអ៊ីនធឺណិតស្របច្បាប់ ហើយទទួលខុសត្រូវចំពោះការឌិគ្រីបលេខកូដសែលដែលនៅទីបំផុតបើកដំណើរការទ្វារក្រោយ។
បើកដំណើរការ Backdoor
វត្ថុបុរាណមួយឈ្មោះថា wmsetup.log ដែលត្រូវបានរកឃើញនៅក្នុងប្រទេសហ្វីលីពីននៅថ្ងៃទី 3 ខែតុលា ឆ្នាំ 2025 អាចត្រូវបានឌិគ្រីបដោយ WMLOADER ដោយប្រើសោ 16 បៃដូចគ្នា។ កំណត់ហេតុនេះបង្ហាញពីការផ្សាំ FINALDRAFT ដែលបង្ហាញពីមូលដ្ឋានកូដ និងបរិស្ថានអភិវឌ្ឍន៍ដែលបានចែករំលែករវាង FINALDRAFT និង NANOREMOTE។
សម្មតិកម្មដែលដំណើរការគឺថា WMLOADER ប្រើសោរកូដរឹងដូចគ្នាដោយសារតែការរួមបញ្ចូលរបស់វានៅក្នុងដំណើរការសាងសង់បង្រួបបង្រួមដែលត្រូវបានរចនាឡើងដើម្បីដោះស្រាយបន្ទុកច្រើន។
