Rabatttilbud for flere lisenser
Trusseldatabase Bakdører NANOREMOTE bakdør

NANOREMOTE bakdør

Med Mezo i Bakdører, Advanced Persistent Threat (APT)
Oversett til:

Forskere innen nettsikkerhet har avdekket en fullfunksjonell Windows-bakdør kalt NANOREMOTE, som bruker Google Drive API for sine kommando-og-kontroll (C2)-operasjoner. Denne skadelige programvaren har sofistikerte muligheter for datautvinning og fjernoperasjoner, noe som gjør den til en betydelig trussel mot målrettede organisasjoner.

Lenker til tidligere trusselaktivitet

NANOREMOTE deler bemerkelsesverdige kodelikheter med et annet implantat, kjent som FINALDRAFT (også referert til som Squidoor), som bruker Microsoft Graph API for C2. FINALDRAFT tilskrives en trusselklynge betegnet REF7707 (også kjent som CL-STA-0049, Earth Alux og Jewelbug).

REF7707 antas å være en mistenkt kinesisk cyberspionasjegruppe som har målrettet:

  • Offentlige etater
  • Forsvarsorganisasjoner
  • Telekommunikasjonsselskaper
  • Utdanningsinstitusjoner
  • Luftfartssektorer

Gruppens aktivitet har blitt observert i Sørøst-Asia og Sør-Amerika siden mars 2023. Det er verdt å merke seg at forskere i oktober 2025 koblet REF7707 til et fem måneder langt innbrudd mot en russisk IT-tjenesteleverandør.

Skadevarefunksjoner og arkitektur

NANOREMOTEs kjernefunksjonalitet dreier seg om å utnytte Google Drive API for både datautfiltrering og nyttelaststaging, og skaper en diskret og vanskelig å oppdage kommunikasjonskanal for angripere. Oppgavebehandlingssystemet er designet for å sette filoverføringer i kø, håndtere pauser og gjenopptakelse av disse overføringene, la operatører avbryte pågående operasjoner og generere oppdateringstokener for å opprettholde vedvarende aktivitet.

Bakdøren er bygget i C++ og er i stand til å utføre omfattende rekognosering på infiserte verter, kjøre filer og systemkommandoer, og flytte data mellom kompromitterte miljøer og Google Drive. Den opprettholder også kommunikasjon med en hardkodet, ikke-ruterbar IP-adresse ved hjelp av standard HTTP-trafikk. Under denne kommunikasjonen sendes JSON-data via POST-forespørsler etter å ha blitt komprimert med Zlib og kryptert ved hjelp av AES-CBC med en 16-byte nøkkel (558bec83ec40535657833d7440001c00). Alle utgående forespørsler er avhengige av /api/client-banen og identifiserer seg ved hjelp av NanoRemote/1.0 User-Agent-strengen.

Skadevaren er avhengig av et sett med 22 kommandohåndterere som til sammen lar den samle systeminformasjon, manipulere filer og mapper, kjøre bærbare kjørbare filer som allerede finnes på disken, slette hurtigbufrede data, kontrollere flytting av filer til og fra Google Drive, og avslutte sin egen operasjon når den blir bedt om det.

Infeksjonskjeden starter med en laster kjent som WMLOADER, selv om metoden som brukes til å levere NANOREMOTE til ofrene fortsatt er ukjent. WMLOADER utgir seg for å være krasjhåndteringskomponenten BDReinit.exe, en fil som vanligvis er knyttet til et legitimt cybersikkerhetsverktøy, og er ansvarlig for å dekryptere skallkoden som til slutt åpner bakdøren.

Åpner bakdøren

En artefakt kalt wmsetup.log, oppdaget på Filippinene 3. oktober 2025, kan dekrypteres av WMLOADER ved hjelp av den samme 16-byte-nøkkelen. Denne loggen avslørte et FINALDRAFT-implantat, noe som tyder på en delt kodebase og utviklingsmiljø mellom FINALDRAFT og NANOREMOTE.

Arbeidshypotesen er at WMLOADER bruker den samme hardkodede nøkkelen på grunn av integreringen i en enhetlig byggeprosess designet for å håndtere flere nyttelaster.

Trender

Mest sett

Laster inn...