நானோரெமோட் பின்புறக் கதவு
சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், கூகிள் டிரைவ் API-ஐ அதன் கட்டளை மற்றும் கட்டுப்பாடு (C2) செயல்பாடுகளுக்குப் பயன்படுத்தும் NANOREMOTE என்ற முழு அம்சங்களுடன் கூடிய விண்டோஸ் பின்புறக் கதவைக் கண்டுபிடித்துள்ளனர். இந்த தீம்பொருள் தரவு வெளியேற்றம் மற்றும் தொலைதூர செயல்பாடுகளுக்கான அதிநவீன திறன்களை வெளிப்படுத்துகிறது, இது இலக்கு வைக்கப்பட்ட நிறுவனங்களுக்கு குறிப்பிடத்தக்க அச்சுறுத்தலாக அமைகிறது.
பொருளடக்கம்
முந்தைய அச்சுறுத்தல் செயல்பாட்டிற்கான இணைப்புகள்
NANOREMOTE, C2-க்கான Microsoft Graph API-ஐப் பயன்படுத்தும் FINALDRAFT (Squidoor என்றும் குறிப்பிடப்படுகிறது) எனப்படும் மற்றொரு உள்வைப்புடன் குறிப்பிடத்தக்க குறியீடு ஒற்றுமைகளைப் பகிர்ந்து கொள்கிறது. FINALDRAFT என்பது REF7707 (CL-STA-0049, Earth Alux மற்றும் Jewelbug என்றும் அழைக்கப்படும்) என நியமிக்கப்பட்ட அச்சுறுத்தல் கிளஸ்டருக்குக் காரணம்.
REF7707 என்பது சந்தேகத்திற்குரிய சீன சைபர் உளவு குழுவாக இருக்கலாம் என்று நம்பப்படுகிறது, இது பின்வருவனவற்றை இலக்காகக் கொண்டுள்ளது:
- அரசு நிறுவனங்கள்
- பாதுகாப்பு அமைப்புகள்
- தொலைத்தொடர்பு நிறுவனங்கள்
- கல்வி நிறுவனங்கள்
- விமானப் போக்குவரத்துத் துறைகள்
மார்ச் 2023 முதல் தென்கிழக்கு ஆசியா மற்றும் தென் அமெரிக்காவில் இந்தக் குழுவின் செயல்பாடு காணப்படுகிறது. குறிப்பாக, அக்டோபர் 2025 இல், ஆராய்ச்சியாளர்கள் REF7707 ஐ ஒரு ரஷ்ய ஐடி சேவை வழங்குநருக்கு எதிரான ஐந்து மாத ஊடுருவலுடன் இணைத்தனர்.
தீம்பொருள் திறன்கள் மற்றும் கட்டமைப்பு
NANOREMOTE இன் முக்கிய செயல்பாடு, தரவு வெளியேற்றம் மற்றும் பேலோட் நிலைப்படுத்தல் ஆகிய இரண்டிற்கும் Google Drive API ஐப் பயன்படுத்துவதைச் சுற்றி வருகிறது, இது தாக்குபவர்களுக்கு ஒரு விவேகமான மற்றும் கண்டறிவதற்கு கடினமான தகவல் தொடர்பு சேனலை உருவாக்குகிறது. அதன் பணி மேலாண்மை அமைப்பு கோப்பு பரிமாற்றங்களை வரிசைப்படுத்தவும், அந்த பரிமாற்றங்களை இடைநிறுத்தவும் மீண்டும் தொடங்கவும், ஆபரேட்டர்கள் நடந்துகொண்டிருக்கும் செயல்பாடுகளை ரத்து செய்ய அனுமதிக்கவும், தொடர்ச்சியான செயல்பாட்டைப் பராமரிக்க புதுப்பிப்பு டோக்கன்களை உருவாக்கவும் வடிவமைக்கப்பட்டுள்ளது.
இந்த பின்புறக் கதவு C++ இல் கட்டமைக்கப்பட்டுள்ளது மற்றும் பாதிக்கப்பட்ட ஹோஸ்ட்களில் விரிவான உளவுபார்ப்பைச் செய்யும் திறன் கொண்டது, கோப்புகள் மற்றும் கணினி கட்டளைகளை இயக்குகிறது மற்றும் சமரசம் செய்யப்பட்ட சூழல்கள் மற்றும் Google Drive இடையே தரவை நகர்த்துகிறது. இது நிலையான HTTP போக்குவரத்தைப் பயன்படுத்தி கடின-குறியிடப்பட்ட, ரூட்டபிள் செய்ய முடியாத IP முகவரியுடன் தொடர்பையும் பராமரிக்கிறது. இந்தத் தகவல்தொடர்புகளின் போது, Zlib உடன் சுருக்கப்பட்டு AES-CBC ஐப் பயன்படுத்தி 16-பைட் விசையுடன் (558bec83ec40535657833d7440001c00) குறியாக்கம் செய்யப்பட்ட பின்னர் JSON தரவு POST கோரிக்கைகள் மூலம் அனுப்பப்படுகிறது. அனைத்து வெளிச்செல்லும் கோரிக்கைகளும் /api/client பாதையை நம்பியுள்ளன மற்றும் NanoRemote/1.0 பயனர்-முகவர் சரத்தைப் பயன்படுத்தி தங்களை அடையாளம் காண்கின்றன.
இந்த தீம்பொருள் 22 கட்டளை கையாளுபவர்களின் தொகுப்பைச் சார்ந்துள்ளது, அவை கணினித் தகவல்களைச் சேகரிக்கவும், கோப்புகள் மற்றும் கோப்பகங்களை கையாளவும், வட்டில் ஏற்கனவே உள்ள சிறிய செயல்படுத்தக்கூடிய கோப்புகளை இயக்கவும், தற்காலிக சேமிப்பில் உள்ள தரவை அழிக்கவும், Google இயக்ககத்திற்கு மற்றும் Google இயக்ககத்திலிருந்து கோப்புகளை நகர்த்துவதைக் கட்டுப்படுத்தவும், அறிவுறுத்தப்படும்போது அதன் சொந்த செயல்பாட்டை நிறுத்தவும் கூட்டாக உதவுகின்றன.
தொற்று சங்கிலி WMLOADER எனப்படும் ஒரு ஏற்றியுடன் தொடங்குகிறது, இருப்பினும் பாதிக்கப்பட்டவர்களுக்கு NANOREMOTE ஐ வழங்கப் பயன்படுத்தப்படும் முறை தெரியவில்லை. WMLOADER என்பது செயலிழப்பு-கையாளுதல் கூறு BDReinit.exe ஆக மாறுவேடமிடுகிறது, இது பொதுவாக ஒரு முறையான சைபர் பாதுகாப்பு கருவியுடன் தொடர்புடைய ஒரு கோப்பு, மேலும் இறுதியில் பின்கதவைத் தொடங்கும் ஷெல் குறியீட்டை மறைகுறியாக்குவதற்கு பொறுப்பாகும்.
பின்கதவைத் தொடங்குதல்
அக்டோபர் 3, 2025 அன்று பிலிப்பைன்ஸில் கண்டுபிடிக்கப்பட்ட wmsetup.log என்ற கலைப்பொருளை, அதே 16-பைட் விசையைப் பயன்படுத்தி WMLOADER ஆல் மறைகுறியாக்க முடியும். இந்தப் பதிவு FINALDRAFT உள்வைப்பை வெளிப்படுத்தியது, இது FINALDRAFT மற்றும் NANOREMOTE இடையே பகிரப்பட்ட குறியீட்டு அடிப்படை மற்றும் மேம்பாட்டு சூழலைக் குறிக்கிறது.
பல பேலோடுகளைக் கையாள வடிவமைக்கப்பட்ட ஒருங்கிணைந்த உருவாக்க செயல்பாட்டில் அதன் ஒருங்கிணைப்பு காரணமாக WMLOADER அதே கடின-குறியிடப்பட்ட விசையைப் பயன்படுத்துகிறது என்பது செயல்படும் கருதுகோள்.
