ਨੈਨੋਰੇਮੋਟ ਬੈਕਡੋਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ NANOREMOTE ਨਾਮਕ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਵਿਸ਼ੇਸ਼ਤਾ ਵਾਲੇ ਵਿੰਡੋਜ਼ ਬੈਕਡੋਰ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜੋ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਕਾਰਜਾਂ ਲਈ Google ਡਰਾਈਵ API ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਅਤੇ ਰਿਮੋਟ ਓਪਰੇਸ਼ਨਾਂ ਲਈ ਅਤਿ ਆਧੁਨਿਕ ਸਮਰੱਥਾਵਾਂ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ, ਜੋ ਇਸਨੂੰ ਨਿਸ਼ਾਨਾ ਸੰਗਠਨਾਂ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰਾ ਬਣਾਉਂਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਪਿਛਲੀ ਧਮਕੀ ਗਤੀਵਿਧੀ ਦੇ ਲਿੰਕ
NANOREMOTE ਇੱਕ ਹੋਰ ਇਮਪਲਾਂਟ, ਜਿਸਨੂੰ FINALDRAFT (ਜਿਸਨੂੰ Squidoor ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਦੇ ਨਾਲ ਮਹੱਤਵਪੂਰਨ ਕੋਡ ਸਮਾਨਤਾਵਾਂ ਸਾਂਝੀਆਂ ਕਰਦਾ ਹੈ, ਜੋ C2 ਲਈ Microsoft Graph API ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। FINALDRAFT ਨੂੰ REF7707 (CL-STA-0049, Earth Alux, ਅਤੇ Jewelbug ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ) ਨਾਮਕ ਇੱਕ ਧਮਕੀ ਕਲੱਸਟਰ ਨਾਲ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ।
REF7707 ਨੂੰ ਇੱਕ ਸ਼ੱਕੀ ਚੀਨੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਸਮੂਹ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਜਿਸਨੇ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ:
- ਸਰਕਾਰੀ ਏਜੰਸੀਆਂ
- ਰੱਖਿਆ ਸੰਗਠਨ
- ਦੂਰਸੰਚਾਰ ਕੰਪਨੀਆਂ
- ਵਿਦਿਅਕ ਸੰਸਥਾਵਾਂ
- ਹਵਾਬਾਜ਼ੀ ਖੇਤਰ
ਇਸ ਸਮੂਹ ਦੀ ਗਤੀਵਿਧੀ ਮਾਰਚ 2023 ਤੋਂ ਦੱਖਣ-ਪੂਰਬੀ ਏਸ਼ੀਆ ਅਤੇ ਦੱਖਣੀ ਅਮਰੀਕਾ ਵਿੱਚ ਦੇਖੀ ਜਾ ਰਹੀ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਅਕਤੂਬਰ 2025 ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ REF7707 ਨੂੰ ਇੱਕ ਰੂਸੀ IT ਸੇਵਾ ਪ੍ਰਦਾਤਾ ਵਿਰੁੱਧ ਪੰਜ ਮਹੀਨਿਆਂ ਦੀ ਘੁਸਪੈਠ ਨਾਲ ਜੋੜਿਆ।
ਮਾਲਵੇਅਰ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਆਰਕੀਟੈਕਚਰ
NANOREMOTE ਦੀ ਮੁੱਖ ਕਾਰਜਸ਼ੀਲਤਾ ਡੇਟਾ ਐਕਸਫਿਲਟ੍ਰੇਸ਼ਨ ਅਤੇ ਪੇਲੋਡ ਸਟੇਜਿੰਗ ਦੋਵਾਂ ਲਈ Google ਡਰਾਈਵ API ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੇ ਆਲੇ-ਦੁਆਲੇ ਘੁੰਮਦੀ ਹੈ, ਹਮਲਾਵਰਾਂ ਲਈ ਇੱਕ ਸਮਝਦਾਰ ਅਤੇ ਖੋਜਣ ਵਿੱਚ ਮੁਸ਼ਕਲ ਸੰਚਾਰ ਚੈਨਲ ਬਣਾਉਣਾ। ਇਸਦਾ ਟਾਸਕ ਮੈਨੇਜਮੈਂਟ ਸਿਸਟਮ ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ ਨੂੰ ਕਤਾਰਬੱਧ ਕਰਨ, ਉਹਨਾਂ ਟ੍ਰਾਂਸਫਰਾਂ ਨੂੰ ਰੋਕਣ ਅਤੇ ਮੁੜ ਸ਼ੁਰੂ ਕਰਨ, ਓਪਰੇਟਰਾਂ ਨੂੰ ਚੱਲ ਰਹੇ ਕਾਰਜਾਂ ਨੂੰ ਰੱਦ ਕਰਨ ਦੀ ਆਗਿਆ ਦੇਣ, ਅਤੇ ਨਿਰੰਤਰ ਗਤੀਵਿਧੀ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ ਰਿਫ੍ਰੈਸ਼ ਟੋਕਨ ਤਿਆਰ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
ਬੈਕਡੋਰ ਖੁਦ C++ ਵਿੱਚ ਬਣਾਇਆ ਗਿਆ ਹੈ ਅਤੇ ਸੰਕਰਮਿਤ ਹੋਸਟਾਂ 'ਤੇ ਵਿਆਪਕ ਖੋਜ ਕਰਨ, ਫਾਈਲਾਂ ਅਤੇ ਸਿਸਟਮ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਵਾਤਾਵਰਣਾਂ ਅਤੇ Google ਡਰਾਈਵ ਵਿਚਕਾਰ ਡੇਟਾ ਨੂੰ ਮੂਵ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਇਹ ਸਟੈਂਡਰਡ HTTP ਟ੍ਰੈਫਿਕ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਹਾਰਡ-ਕੋਡਡ, ਗੈਰ-ਰੂਟੇਬਲ IP ਪਤੇ ਨਾਲ ਸੰਚਾਰ ਨੂੰ ਵੀ ਬਣਾਈ ਰੱਖਦਾ ਹੈ। ਇਸ ਸੰਚਾਰ ਦੌਰਾਨ, JSON ਡੇਟਾ ਨੂੰ Zlib ਨਾਲ ਸੰਕੁਚਿਤ ਕਰਨ ਅਤੇ 16-ਬਾਈਟ ਕੁੰਜੀ (558bec83ec40535657833d7440001c00) ਨਾਲ AES-CBC ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਏਨਕ੍ਰਿਪਟ ਕਰਨ ਤੋਂ ਬਾਅਦ POST ਬੇਨਤੀਆਂ ਰਾਹੀਂ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ। ਸਾਰੀਆਂ ਆਊਟਬਾਊਂਡ ਬੇਨਤੀਆਂ /api/client ਮਾਰਗ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀਆਂ ਹਨ ਅਤੇ NanoRemote/1.0 ਯੂਜ਼ਰ-ਏਜੰਟ ਸਟ੍ਰਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਆਪਣੇ ਆਪ ਨੂੰ ਪਛਾਣਦੀਆਂ ਹਨ।
ਇਹ ਮਾਲਵੇਅਰ 22 ਕਮਾਂਡ ਹੈਂਡਲਰਾਂ ਦੇ ਇੱਕ ਸੈੱਟ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ ਜੋ ਸਮੂਹਿਕ ਤੌਰ 'ਤੇ ਇਸਨੂੰ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ, ਫਾਈਲਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ, ਡਿਸਕ 'ਤੇ ਪਹਿਲਾਂ ਤੋਂ ਮੌਜੂਦ ਪੋਰਟੇਬਲ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲਾਂ ਨੂੰ ਚਲਾਉਣ, ਕੈਸ਼ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਸਾਫ਼ ਕਰਨ, ਗੂਗਲ ਡਰਾਈਵ 'ਤੇ ਅਤੇ ਤੋਂ ਫਾਈਲਾਂ ਦੀ ਗਤੀ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਨ, ਅਤੇ ਨਿਰਦੇਸ਼ ਦਿੱਤੇ ਜਾਣ 'ਤੇ ਆਪਣਾ ਕੰਮ ਖਤਮ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੇ ਹਨ।
ਇਨਫੈਕਸ਼ਨ ਚੇਨ WMLOADER ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਲੋਡਰ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ, ਹਾਲਾਂਕਿ ਪੀੜਤਾਂ ਤੱਕ NANOREMOTE ਪਹੁੰਚਾਉਣ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਤਰੀਕਾ ਅਣਜਾਣ ਹੈ। WMLOADER ਕਰੈਸ਼-ਹੈਂਡਲਿੰਗ ਕੰਪੋਨੈਂਟ BDReinit.exe ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਦਾ ਹੈ, ਇੱਕ ਫਾਈਲ ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਇੱਕ ਜਾਇਜ਼ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਟੂਲ ਨਾਲ ਜੁੜੀ ਹੁੰਦੀ ਹੈ, ਅਤੇ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੁੰਦੀ ਹੈ ਜੋ ਅੰਤ ਵਿੱਚ ਬੈਕਡੋਰ ਲਾਂਚ ਕਰਦਾ ਹੈ।
ਬੈਕਡੋਰ ਲਾਂਚ ਕਰਨਾ
3 ਅਕਤੂਬਰ, 2025 ਨੂੰ ਫਿਲੀਪੀਨਜ਼ ਵਿੱਚ ਖੋਜੀ ਗਈ wmsetup.log ਨਾਮਕ ਇੱਕ ਆਰਟੀਫੈਕਟ ਨੂੰ WMLOADER ਦੁਆਰਾ ਉਸੇ 16-ਬਾਈਟ ਕੁੰਜੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਡੀਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਇਸ ਲੌਗ ਨੇ ਇੱਕ FINALDRAFT ਇਮਪਲਾਂਟ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ, ਜੋ FINALDRAFT ਅਤੇ NANOREMOTE ਵਿਚਕਾਰ ਇੱਕ ਸਾਂਝਾ ਕੋਡਬੇਸ ਅਤੇ ਵਿਕਾਸ ਵਾਤਾਵਰਣ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ।
ਕਾਰਜਸ਼ੀਲ ਪਰਿਕਲਪਨਾ ਇਹ ਹੈ ਕਿ WMLOADER ਇੱਕੋ ਹਾਰਡ-ਕੋਡਿਡ ਕੁੰਜੀ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਕਿਉਂਕਿ ਇਹ ਇੱਕ ਯੂਨੀਫਾਈਡ ਬਿਲਡ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਏਕੀਕਰਣ ਕਰਦਾ ਹੈ ਜੋ ਕਈ ਪੇਲੋਡਾਂ ਨੂੰ ਸੰਭਾਲਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
