NANOREMOTE Arka Kapı
Siber güvenlik araştırmacıları, komuta ve kontrol (C2) işlemleri için Google Drive API'sini kullanan, NANOREMOTE adlı tam özellikli bir Windows arka kapı yazılımı keşfetti. Bu kötü amaçlı yazılım, veri sızdırma ve uzaktan işlemler için gelişmiş yetenekler sergileyerek hedef kuruluşlar için önemli bir tehdit oluşturuyor.
İçindekiler
Önceki Tehdit Faaliyetlerine Bağlantılar
NANOREMOTE, C2 için Microsoft Graph API'sini kullanan FINALDRAFT (Squidoor olarak da bilinir) adlı başka bir kötü amaçlı yazılımla önemli kod benzerlikleri göstermektedir. FINALDRAFT, REF7707 (CL-STA-0049, Earth Alux ve Jewelbug olarak da bilinir) olarak adlandırılan bir tehdit kümesine atfedilmiştir.
REF7707'nin, şu grupları hedef alan şüpheli bir Çin siber casusluk grubu olduğuna inanılıyor:
- Devlet kurumları
- Savunma örgütleri
- Telekomünikasyon şirketleri
- Eğitim kurumları
- Havacılık sektörleri
Grubun faaliyetleri Mart 2023'ten beri Güneydoğu Asya ve Güney Amerika'da gözlemlenmiştir. Özellikle Ekim 2025'te araştırmacılar REF7707'yi Rus bir BT hizmet sağlayıcısına yönelik beş aylık bir siber saldırıyla ilişkilendirmiştir.
Kötü Amaçlı Yazılım Yetenekleri ve Mimarisi
NANOREMOTE'un temel işlevselliği, hem veri sızdırma hem de zararlı yazılım yükleme için Google Drive API'sinden yararlanarak saldırganlar için gizli ve tespit edilmesi zor bir iletişim kanalı oluşturmaya odaklanmıştır. Görev yönetim sistemi, dosya transferlerini sıraya almak, bu transferlerin duraklatılmasını ve devam ettirilmesini yönetmek, operatörlerin devam eden işlemleri iptal etmesine olanak sağlamak ve kalıcı etkinliği sürdürmek için yenileme belirteçleri oluşturmak üzere tasarlanmıştır.
Arka kapı yazılımı C++ ile geliştirilmiştir ve enfekte olmuş sunucularda kapsamlı keşif yapabilme, dosya ve sistem komutlarını çalıştırma ve tehlikeye atılmış ortamlar ile Google Drive arasında veri taşıma yeteneğine sahiptir. Ayrıca, standart HTTP trafiği kullanarak sabit kodlanmış, yönlendirilemeyen bir IP adresiyle iletişim kurar. Bu iletişim sırasında, Zlib ile sıkıştırıldıktan ve 16 baytlık bir anahtar (558bec83ec40535657833d7440001c00) ile AES-CBC kullanılarak şifrelendikten sonra POST istekleri aracılığıyla JSON verileri gönderilir. Tüm giden istekler /api/client yoluna dayanır ve kendilerini NanoRemote/1.0 User-Agent dizesiyle tanımlar.
Bu kötü amaçlı yazılım, sistem bilgilerini toplamasına, dosya ve dizinleri manipüle etmesine, diskte zaten mevcut olan taşınabilir yürütülebilir dosyaları çalıştırmasına, önbelleğe alınmış verileri temizlemesine, Google Drive'a dosya aktarımını kontrol etmesine ve talimat verildiğinde kendi çalışmasını sonlandırmasına olanak tanıyan 22 komut işleyicisinden oluşan bir kümeye dayanmaktadır.
Bulaşma zinciri, WMLOADER olarak bilinen bir yükleyici ile başlar, ancak NANOREMOTE'un kurbanlara nasıl ulaştırıldığı bilinmemektedir. WMLOADER, genellikle meşru bir siber güvenlik aracıyla ilişkilendirilen bir dosya olan çökme işleme bileşeni BDReinit.exe kılığında çalışır ve nihayetinde arka kapıyı başlatan shellcode'u çözmekten sorumludur.
Arka Kapıyı Başlatmak
3 Ekim 2025'te Filipinler'de keşfedilen wmsetup.log adlı bir dosya, aynı 16 baytlık anahtar kullanılarak WMLOADER tarafından şifresi çözülebilir. Bu dosya, FINALDRAFT'ın yerleşik bir yazılımını ortaya çıkardı ve FINALDRAFT ile NANOREMOTE arasında paylaşılan bir kod tabanı ve geliştirme ortamı olduğunu gösterdi.
Çalışma hipotezi, WMLOADER'ın birden fazla yükü işlemek üzere tasarlanmış birleşik bir derleme sürecine entegre olması nedeniyle aynı sabit kodlu anahtarı kullandığı yönündedir.
