นาโนรีโมท แบ็กดอร์
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์แบ็กดอร์สำหรับระบบปฏิบัติการ Windows ที่มีชื่อว่า NANOREMOTE ซึ่งใช้ประโยชน์จาก Google Drive API ในการปฏิบัติการควบคุมและสั่งการ (C2) มัลแวร์นี้แสดงให้เห็นถึงความสามารถที่ซับซ้อนในการขโมยข้อมูลและปฏิบัติการจากระยะไกล ทำให้เป็นภัยคุกคามที่สำคัญต่อองค์กรเป้าหมาย
สารบัญ
ลิงก์ไปยังกิจกรรมคุกคามก่อนหน้านี้
NANOREMOTE มีความคล้ายคลึงกันอย่างเห็นได้ชัดในโค้ดกับมัลแวร์อีกตัวหนึ่งที่รู้จักกันในชื่อ FINALDRAFT (หรือที่รู้จักกันในชื่อ Squidoor) ซึ่งใช้ Microsoft Graph API สำหรับการควบคุมและสั่งการ (C2) FINALDRAFT จัดอยู่ในกลุ่มภัยคุกคามที่กำหนดรหัสเป็น REF7707 (หรือที่รู้จักกันในชื่อ CL-STA-0049, Earth Alux และ Jewelbug)
เชื่อกันว่า REF7707 เป็นกลุ่มจารกรรมทางไซเบอร์ของจีนที่ต้องสงสัย ซึ่งได้กำหนดเป้าหมายไปที่:
- หน่วยงานรัฐบาล
- องค์กรป้องกันประเทศ
- บริษัทโทรคมนาคม
- สถาบันการศึกษา
- ภาคการบิน
มีการตรวจพบกิจกรรมของกลุ่มนี้ในเอเชียตะวันออกเฉียงใต้และอเมริกาใต้ตั้งแต่เดือนมีนาคม 2023 โดยเฉพาะอย่างยิ่ง ในเดือนตุลาคม 2025 นักวิจัยได้เชื่อมโยง REF7707 กับการบุกรุกระบบของบริษัทผู้ให้บริการด้านไอทีของรัสเซียเป็นเวลาห้าเดือน
ความสามารถและสถาปัตยกรรมของมัลแวร์
ฟังก์ชันหลักของ NANOREMOTE เกี่ยวข้องกับการใช้ประโยชน์จาก Google Drive API ทั้งในการดึงข้อมูลและการจัดเตรียมเพย์โหลด ทำให้เกิดช่องทางการสื่อสารที่แนบเนียนและตรวจจับได้ยากสำหรับผู้โจมตี ระบบจัดการงานของมันได้รับการออกแบบมาเพื่อจัดคิวการถ่ายโอนไฟล์ จัดการการหยุดชั่วคราวและการดำเนินการต่อการถ่ายโอนเหล่านั้น อนุญาตให้ผู้ใช้งานยกเลิกการดำเนินการที่กำลังดำเนินอยู่ และสร้างโทเค็นรีเฟรชเพื่อรักษากิจกรรมอย่างต่อเนื่อง
แบ็กดอร์นี้สร้างขึ้นด้วยภาษา C++ และสามารถทำการสำรวจข้อมูลอย่างละเอียดบนโฮสต์ที่ติดไวรัส เรียกใช้ไฟล์และคำสั่งระบบ และย้ายข้อมูลระหว่างสภาพแวดล้อมที่ถูกบุกรุกและ Google Drive นอกจากนี้ยังรักษาการสื่อสารกับที่อยู่ IP ที่กำหนดไว้ตายตัวและไม่สามารถกำหนดเส้นทางได้ โดยใช้การรับส่งข้อมูล HTTP มาตรฐาน ในระหว่างการสื่อสารนี้ ข้อมูล JSON จะถูกส่งผ่านคำขอ POST หลังจากถูกบีบอัดด้วย Zlib และเข้ารหัสโดยใช้ AES-CBC ด้วยคีย์ 16 ไบต์ (558bec83ec40535657833d7440001c00) คำขอขาออกทั้งหมดอาศัยเส้นทาง /api/client และระบุตัวเองโดยใช้สตริง User-Agent NanoRemote/1.0
มัลแวร์นี้อาศัยชุดคำสั่งจัดการ 22 ชุด ซึ่งโดยรวมแล้วจะช่วยให้มันสามารถรวบรวมข้อมูลระบบ จัดการไฟล์และไดเร็กทอรี เรียกใช้ไฟล์ปฏิบัติการแบบพกพาที่มีอยู่แล้วในดิสก์ ล้างข้อมูลแคช ควบคุมการเคลื่อนย้ายไฟล์เข้าและออกจาก Google Drive และยุติการทำงานของตัวเองเมื่อได้รับคำสั่ง
กระบวนการแพร่ระบาดเริ่มต้นด้วยโปรแกรมโหลดที่รู้จักกันในชื่อ WMLOADER แม้ว่าวิธีการที่ใช้ในการส่ง NANOREMOTE ไปยังเหยื่อยังคงไม่เป็นที่ทราบแน่ชัด WMLOADER ปลอมตัวเป็นส่วนประกอบจัดการข้อผิดพลาด BDReinit.exe ซึ่งเป็นไฟล์ที่มักเกี่ยวข้องกับเครื่องมือรักษาความปลอดภัยทางไซเบอร์ที่ถูกต้องตามกฎหมาย และมีหน้าที่ในการถอดรหัสเชลล์โค้ดซึ่งจะเปิดใช้งานแบ็กดอร์ในที่สุด
การเปิดช่องทางลับ
ไฟล์ข้อมูลชื่อ wmsetup.log ซึ่งถูกค้นพบในประเทศฟิลิปปินส์เมื่อวันที่ 3 ตุลาคม 2025 สามารถถอดรหัสได้ด้วย WMLOADER โดยใช้คีย์ 16 ไบต์เดียวกัน ไฟล์บันทึกนี้เผยให้เห็นมัลแวร์ FINALDRAFT ซึ่งบ่งชี้ว่า FINALDRAFT และ NANOREMOTE มีการใช้โค้ดเบสและสภาพแวดล้อมการพัฒนาร่วมกัน
สมมติฐานเบื้องต้นคือ WMLOADER ใช้คีย์ที่กำหนดไว้ตายตัวเดียวกัน เนื่องจากมันถูกรวมเข้ากับกระบวนการสร้างแบบรวมศูนย์ที่ออกแบบมาเพื่อจัดการกับเพย์โหลดหลายประเภท
