NANOREMOTE задња врата
Истраживачи сајбер безбедности открили су потпуно функционалан Windows бекдор под називом NANOREMOTE, који користи Google Drive API за своје командне и контролне (C2) операције. Овај малвер показује софистициране могућности за крађу података и даљинске операције, што га чини значајном претњом за циљане организације.
Преглед садржаја
Линкови до претходних претњи
NANOREMOTE дели значајне сличности у коду са другим имплантом, познатим као FINALDRAFT (такође познат као Squidoor), који користи Microsoft Graph API за C2. FINALDRAFT се приписује кластеру претњи означеном као REF7707 (такође познатом као CL-STA-0049, Earth Alux и Jewelbug).
Верује се да је REF7707 осумњичена кинеска група за сајбер шпијунажу која је циљала:
- Владине агенције
- Одбрамбене организације
- Телекомуникационе компаније
- Образовне институције
- Сектори ваздухопловства
Активност групе је примећена у Југоисточној Азији и Јужној Америци од марта 2023. године. Приметно је да су истраживачи у октобру 2025. године повезали REF7707 са петомесечним упадом у руског добављача ИТ услуга.
Могућности и архитектура злонамерног софтвера
Основна функционалност NANOREMOTE-а се врти око коришћења Google Drive API-ја за извлачење података и постављање корисног терета, стварајући дискретан и тешко откривајући комуникациони канал за нападаче. Његов систем за управљање задацима је дизајниран да ставља у ред преноса датотека, обрађује паузирање и настављање тих преноса, омогућава оператерима да откажу текуће операције и генеришу токене за освежавање како би одржали сталну активност.
Сам бекдор је направљен у C++ и способан је да обавља опсежно извиђање заражених хостова, извршава датотеке и системске команде и премешта податке између угрожених окружења и Google диска. Такође одржава комуникацију са чврсто кодираном, нерутирајућом IP адресом користећи стандардни HTTP саобраћај. Током ове комуникације, JSON подаци се шаљу путем POST захтева након што су компресовани помоћу Zlib-а и шифровани помоћу AES‑CBC-а са 16-бајтним кључем (558bec83ec40535657833d7440001c00). Сви одлазни захтеви се ослањају на путању /api/client и идентификују се помоћу стринга NanoRemote/1.0 User-Agent.
Злонамерни софтвер се ослања на скуп од 22 командних обрађивача који му заједно омогућавају да прикупља системске информације, манипулише датотекама и директоријумима, извршава преносиве извршне датотеке које су већ присутне на диску, брише кеширане податке, контролише кретање датотека на и са Google диска и прекида сопствену операцију када се то од њега затражи.
Ланац инфекције почиње са програмом за учитавање познатим као WMLOADER, иако метод који се користи за испоруку NANOREMOTE жртвама остаје непознат. WMLOADER се маскира као компонента за руковање падовима система BDReinit.exe, датотека која се обично повезује са легитимним алатом за сајбер безбедност, и одговорна је за дешифровање шелкода који на крају покреће задња врата.
Покретање задњих врата
Артефакт под називом wmsetup.log, откривен на Филипинима 3. октобра 2025. године, може се дешифровати помоћу WMLOADER-а користећи исти 16-бајтни кључ. Овај лог је открио имплантат FINALDRAFT-а, што указује на заједничку базу кода и развојно окружење између FINALDRAFT-а и NANOREMOTE-а.
Радна хипотеза је да WMLOADER користи исти чврсто кодирани кључ због своје интеграције у обједињени процес изградње дизајниран за руковање вишеструким корисним теретима.
