NANOREMOTE galinės durys
Kibernetinio saugumo tyrėjai atrado visavertę „Windows“ galinę durelę, vadinamą NANOREMOTE, kuri savo komandų ir valdymo (C2) operacijoms naudoja „Google Drive“ API. Ši kenkėjiška programa pasižymi sudėtingomis duomenų išgavimo ir nuotolinių operacijų galimybėmis, todėl kelia didelę grėsmę tikslinėms organizacijoms.
Turinys
Nuorodos į ankstesnę grėsmių veiklą
NANOREMOTE kodas pastebimai panašus į kitą implantą, žinomą kaip FINALDRAFT (dar vadinamą „Squidoor“), kuris naudoja „Microsoft Graph API for C2“. FINALDRAFT priskiriamas grėsmių grupei, pažymėtai REF7707 (taip pat žinomai kaip CL-STA-0049, „Earth Alux“ ir „Jewelbug“).
Manoma, kad REF7707 yra įtariama Kinijos kibernetinio šnipinėjimo grupuotė, kurios taikiniai buvo:
- Vyriausybinės agentūros
- Gynybos organizacijos
- Telekomunikacijų bendrovės
- Švietimo įstaigos
- Aviacijos sektoriai
Grupės veikla Pietryčių Azijoje ir Pietų Amerikoje stebima nuo 2023 m. kovo mėn. Pažymėtina, kad 2025 m. spalį tyrėjai susiejo REF7707 su penkis mėnesius trukusiu įsilaužimu į Rusijos IT paslaugų teikėją.
Kenkėjiškų programų galimybės ir architektūra
Pagrindinė NANOREMOTE funkcija yra „Google Drive API“ naudojimas tiek duomenų išgavimui, tiek naudingosios apkrovos paruošimui, sukuriant diskretišką ir sunkiai aptinkamą ryšio kanalą užpuolikams. Jos užduočių valdymo sistema sukurta failų perdavimo eilėms sudaryti, tvarkyti šių perdavimų pristabdymą ir atnaujinimą, leisti operatoriams atšaukti vykdomas operacijas ir generuoti atnaujinimo žetonus, kad būtų palaikoma nuolatinė veikla.
Pats galinis durų įrankis sukurtas C++ kalba ir gali atlikti išsamią užkrėstų kompiuterių žvalgybą, vykdyti failus ir sistemos komandas bei perkelti duomenis tarp pažeistų aplinkų ir „Google“ disko. Jis taip pat palaiko ryšį su užkoduotu, neperadresuojamu IP adresu, naudodamas standartinį HTTP srautą. Šio ryšio metu JSON duomenys siunčiami per POST užklausas, prieš tai suspausti naudojant „Zlib“ ir užšifruoti naudojant AES-CBC su 16 baitų raktu (558bec83ec40535657833d7440001c00). Visos siunčiamos užklausos remiasi keliu /api/client ir identifikuojamos naudojant „NanoRemote/1.0 User-Agent“ eilutę.
Kenkėjiška programa remiasi 22 komandų tvarkyklių rinkiniu, kurie kartu leidžia jai rinkti sistemos informaciją, manipuliuoti failais ir katalogais, vykdyti diske jau esančius perkeliamus vykdomuosius failus, išvalyti talpykloje saugomus duomenis, valdyti failų perkėlimą į „Google“ diską ir iš jo bei nutraukti savo veiklą, kai gauna nurodymą.
Užkrato grandinė prasideda nuo įkroviklio, vadinamo WMLOADER, nors metodas, naudojamas NANOREMOTE pristatymui aukoms, lieka nežinomas. WMLOADER maskuojasi kaip gedimų apdorojimo komponentas BDReinit.exe – failas, paprastai siejamas su teisėta kibernetinio saugumo priemone, ir yra atsakingas už apvalkalo kodo, kuris galiausiai paleidžia galines duris, iššifravimą.
„Backdoor“ paleidimas
2025 m. spalio 3 d. Filipinuose aptiktas artefaktas pavadinimu wmsetup.log gali būti iššifruotas naudojant WMLOADER naudojant tą patį 16 baitų raktą. Šiame žurnale buvo aptiktas FINALDRAFT implantas, rodantis bendrą kodo bazę ir kūrimo aplinką tarp FINALDRAFT ir NANOREMOTE.
Darbinė hipotezė yra ta, kad WMLOADER naudoja tą patį užkoduotą raktą dėl jo integracijos į vieningą kūrimo procesą, skirtą apdoroti kelis naudingus krovinius.
