NANOREMOTE aizmugurējās durvis
Kiberdrošības pētnieki ir atklājuši pilnvērtīgu Windows aizmugurējo durvju rīku ar nosaukumu NANOREMOTE, kas savām komandvadības (C2) darbībām izmanto Google Drive API. Šai ļaunprogrammatūrai ir sarežģītas datu noplūdes un attālinātu darbību iespējas, padarot to par būtisku draudu mērķētām organizācijām.
Satura rādītājs
Saites uz iepriekšējo draudu aktivitāti
NANOREMOTE kodam ir ievērojamas līdzības ar citu implantu, kas pazīstams kā FINALDRAFT (saukts arī par Squidoor) un izmanto Microsoft Graph API C2. FINALDRAFT ir attiecināts uz apdraudējumu klasteri ar apzīmējumu REF7707 (pazīstams arī kā CL-STA-0049, Earth Alux un Jewelbug).
Tiek uzskatīts, ka REF7707 ir iespējama Ķīnas kiberizlūkošanas grupa, kas ir uzbrukusi:
- Valdības aģentūras
- Aizsardzības organizācijas
- Telekomunikāciju uzņēmumi
- Izglītības iestādes
- Aviācijas nozares
Grupas darbība ir novērota Dienvidaustrumāzijā un Dienvidamerikā kopš 2023. gada marta. Jāatzīmē, ka 2025. gada oktobrī pētnieki saistīja REF7707 ar piecu mēnešu ilgu ielaušanos pret Krievijas IT pakalpojumu sniedzēju.
Ļaunprogrammatūras iespējas un arhitektūra
NANOREMOTE pamatfunkcija ir saistīta ar Google Drive API izmantošanu gan datu eksfiltrācijai, gan vērtuma slodzes sagatavošanai, izveidojot diskrētu un grūti atklājamu saziņas kanālu uzbrucējiem. Tās uzdevumu pārvaldības sistēma ir izstrādāta, lai sakārtotu failu pārsūtīšanas rindā, apstrādātu šo pārsūtīšanu apturēšanu un atsākšanu, ļautu operatoriem atcelt notiekošās darbības un ģenerētu atsvaidzināšanas žetonus, lai uzturētu pastāvīgu aktivitāti.
Pati aizmugurējā lūka ir veidota C++ valodā un spēj veikt plašu inficēto resursdatoru izlūkošanu, izpildīt failus un sistēmas komandas, kā arī pārvietot datus starp apdraudētām vidēm un Google disku. Tā arī uztur saziņu ar cietkodētu, nemaršrutējamu IP adresi, izmantojot standarta HTTP datplūsmu. Šīs saziņas laikā JSON dati tiek nosūtīti, izmantojot POST pieprasījumus pēc tam, kad tie ir saspiesti ar Zlib un šifrēti, izmantojot AES-CBC ar 16 baitu atslēgu (558bec83ec40535657833d7440001c00). Visi izejošie pieprasījumi balstās uz /api/client ceļu un identificē sevi, izmantojot NanoRemote/1.0 lietotāja aģenta virkni.
Ļaunprogrammatūra balstās uz 22 komandu apstrādātāju kopu, kas kopā ļauj tai apkopot sistēmas informāciju, manipulēt ar failiem un direktorijiem, izpildīt diskā jau esošos pārnēsājamos izpildāmos failus, notīrīt kešatmiņā saglabātos datus, kontrolēt failu pārvietošanu uz Google disku un no tā, kā arī pārtraukt savu darbību, kad tiek saņemtas atbilstošas instrukcijas.
Infekcijas ķēde sākas ar ielādētāju, kas pazīstams kā WMLOADER, lai gan metode, kas tiek izmantota NANOREMOTE piegādei upuriem, joprojām nav zināma. WMLOADER maskējas kā avāriju apstrādes komponents BDReinit.exe — fails, kas parasti tiek saistīts ar leģitīmu kiberdrošības rīku, un ir atbildīgs par apvalkkoda atšifrēšanu, kas galu galā palaiž aizmugurējās durvis.
Aizmugurējo durvju palaišana
Ar WMLOADER, izmantojot to pašu 16 baitu atslēgu, var atšifrēt artefaktu ar nosaukumu wmsetup.log, kas tika atklāts Filipīnās 2025. gada 3. oktobrī. Šajā žurnālā tika atklāts FINALDRAFT implants, kas liecina par kopīgu koda bāzi un izstrādes vidi starp FINALDRAFT un NANOREMOTE.
Darba hipotēze ir tāda, ka WMLOADER izmanto vienu un to pašu cietkodēto atslēgu, pateicoties tā integrācijai vienotā būvēšanas procesā, kas paredzēts vairāku vērtumu apstrādei.
