Zadné vrátka NANOREMOTE
Výskumníci v oblasti kybernetickej bezpečnosti odhalili plne funkčný zadný vrátnik pre systém Windows s názvom NANOREMOTE, ktorý využíva rozhranie API služby Google Drive pre svoje operácie typu Command-and-Control (C2). Tento malvér vykazuje sofistikované možnosti na exfiltráciu údajov a vzdialené operácie, čo z neho robí významnú hrozbu pre cieľové organizácie.
Obsah
Odkazy na predchádzajúcu aktivitu s hrozbami
NANOREMOTE má výrazné podobnosti v kóde s iným implantátom, známym ako FINALDRAFT (tiež označovaný ako Squidoor), ktorý využíva rozhranie Microsoft Graph API pre C2. FINALDRAFT je priradený ku klastru hrozieb označenému REF7707 (tiež známym ako CL-STA-0049, Earth Alux a Jewelbug).
Predpokladá sa, že REF7707 je podozrivá čínska skupina zameraná na kybernetickú špionáž, ktorá sa zamerala na:
- Vládne agentúry
- Obranné organizácie
- Telekomunikačné spoločnosti
- Vzdelávacie inštitúcie
- Letecké sektory
Aktivita skupiny bola pozorovaná v juhovýchodnej Ázii a Južnej Amerike od marca 2023. Je pozoruhodné, že v októbri 2025 výskumníci spojili REF7707 s päťmesačným narušením proti ruskému poskytovateľovi IT služieb.
Možnosti a architektúra škodlivého softvéru
Hlavná funkcionalita NANOREMOTE sa točí okolo využitia rozhrania Google Drive API na exfiltráciu dát aj na spracovanie dát, čím sa vytvára diskrétny a ťažko odhaliteľný komunikačný kanál pre útočníkov. Jeho systém správy úloh je navrhnutý tak, aby zaraďoval prenosy súborov do frontu, spracovával pozastavenie a obnovenie týchto prenosov, umožňoval operátorom rušiť prebiehajúce operácie a generoval obnovovacie tokeny na udržanie trvalej aktivity.
Samotný backdoor je vytvorený v jazyku C++ a je schopný vykonávať rozsiahly prieskum infikovaných hostiteľov, spúšťať súbory a systémové príkazy a presúvať dáta medzi napadnutým prostredím a Diskom Google. Taktiež udržiava komunikáciu s pevne zakódovanou, nesmerovateľnou IP adresou pomocou štandardnej HTTP prevádzky. Počas tejto komunikácie sa dáta JSON odosielajú prostredníctvom požiadaviek POST po kompresii pomocou Zlib a šifrovaní pomocou AES-CBC so 16-bajtovým kľúčom (558bec83ec40535657833d7440001c00). Všetky odchádzajúce požiadavky sa spoliehajú na cestu /api/client a identifikujú sa pomocou reťazca NanoRemote/1.0 User-Agent.
Malvér sa spolieha na sadu 22 obslužných programov príkazov, ktoré mu spoločne umožňujú zhromažďovať systémové informácie, manipulovať so súbormi a adresármi, spúšťať prenosné spustiteľné súbory, ktoré sa už nachádzajú na disku, mazať údaje z vyrovnávacej pamäte, riadiť presun súborov do a z Disku Google a ukončiť vlastnú operáciu na pokyn.
Reťazec infekcie začína zavádzačom známym ako WMLOADER, hoci metóda použitá na doručenie NANOREMOTE obetiam zostáva neznáma. WMLOADER sa maskuje ako komponent BDReinit.exe, súbor určený na riešenie pádov, ktorý sa zvyčajne spája s legitímnym nástrojom kybernetickej bezpečnosti, a je zodpovedný za dešifrovanie shellcode, ktorý nakoniec spustí zadné vrátka.
Spustenie zadných vrátok
Artefakt s názvom wmsetup.log, objavený na Filipínach 3. októbra 2025, je možné dešifrovať pomocou nástroja WMLOADER pomocou rovnakého 16-bajtového kľúča. Tento protokol odhalil implantát FINALDRAFT, čo naznačuje zdieľanú kódovú základňu a vývojové prostredie medzi FINALDRAFT a NANOREMOTE.
Pracovná hypotéza je, že WMLOADER používa rovnaký pevne zakódovaný kľúč kvôli jeho integrácii do zjednoteného procesu zostavovania, ktorý je navrhnutý na spracovanie viacerých užitočných zaťažení.
