Zadnja vrata NANOREMOTE
Raziskovalci kibernetske varnosti so odkrili polno opremljena zadnja vrata za Windows z imenom NANOREMOTE, ki za svoje operacije Command-and-Control (C2) izkoriščajo API Google Drive. Ta zlonamerna programska oprema ima napredne zmogljivosti za krajo podatkov in oddaljeno upravljanje, zaradi česar predstavlja veliko grožnjo za ciljne organizacije.
Kazalo
Povezave do prejšnjih groženj
NANOREMOTE ima opazne podobnosti v kodi z drugim vsadkom, znanim kot FINALDRAFT (imenovanim tudi Squidoor), ki uporablja Microsoft Graph API za C2. FINALDRAFT je pripisan skupini groženj z oznako REF7707 (znan tudi kot CL-STA-0049, Earth Alux in Jewelbug).
REF7707 naj bi bila domnevna kitajska skupina za kibernetsko vohunjenje, ki je ciljala na:
- Vladne agencije
- Obrambne organizacije
- Telekomunikacijska podjetja
- Izobraževalne ustanove
- Letalski sektorji
Dejavnost skupine je bila v jugovzhodni Aziji in Južni Ameriki opažena od marca 2023. Omeniti velja, da so raziskovalci oktobra 2025 povezali REF7707 s petmesečnim vdorom v ruskega ponudnika IT storitev.
Zmogljivosti in arhitektura zlonamerne programske opreme
Osrednja funkcionalnost sistema NANOREMOTE se osredotoča na uporabo API-ja Google Drive za izkrcavanje podatkov in pripravo koristnega tovora, s čimer ustvarja diskreten in težko zaznaven komunikacijski kanal za napadalce. Njegov sistem za upravljanje nalog je zasnovan tako, da postavlja prenose datotek v čakalno vrsto, upravlja začasno ustavitev in nadaljevanje teh prenosov, omogoča operaterjem preklic tekočih operacij in ustvarja žetone za osvežitev za vzdrževanje trajne aktivnosti.
Zadnja vrata so zgrajena v jeziku C++ in so sposobna obsežnega izvidovanja okuženih gostiteljev, izvajanja datotek in sistemskih ukazov ter premikanja podatkov med ogroženimi okolji in storitvijo Google Drive. Prav tako vzdržuje komunikacijo s trdo kodiranim, neusmerljivim naslovom IP z uporabo standardnega prometa HTTP. Med to komunikacijo se podatki JSON pošiljajo prek zahtev POST, potem ko so stisnjeni z Zlib in šifrirani z AES-CBC s 16-bajtnim ključem (558bec83ec40535657833d7440001c00). Vse odhodne zahteve se zanašajo na pot /api/client in se identificirajo z nizom uporabniškega agenta NanoRemote/1.0.
Zlonamerna programska oprema se zanaša na niz 22 upravljavcev ukazov, ki ji skupaj omogočajo zbiranje sistemskih informacij, manipuliranje z datotekami in imeniki, izvajanje prenosnih izvedljivih datotek, ki so že prisotne na disku, brisanje predpomnjenih podatkov, nadzor premikanja datotek v Google Drive in iz njega ter prekinitev lastnega delovanja, ko je to zahtevano.
Veriga okužbe se začne z nalagalnikom, znanim kot WMLOADER, čeprav metoda, uporabljena za dostavo NANOREMOTE žrtvam, ostaja neznana. WMLOADER se maskira kot komponenta za obravnavo zrušitev BDReinit.exe, datoteka, ki je običajno povezana z legitimnim orodjem za kibernetsko varnost, in je odgovorna za dešifriranje lupinske kode, ki na koncu zažene zadnja vrata.
Zagon zadnjih vrat
Artefakt z imenom wmsetup.log, odkrit na Filipinih 3. oktobra 2025, lahko WMLOADER dešifrira z uporabo istega 16-bajtnega ključa. Ta dnevnik je razkril vsadek FINALDRAFT, kar kaže na skupno kodno bazo in razvojno okolje med FINALDRAFT in NANOREMOTE.
Delovna hipoteza je, da WMLOADER uporablja isti trdo kodiran ključ zaradi njegove integracije v enoten proces gradnje, zasnovan za obdelavo več koristnih obremenitev.
