NANOREMOTE Бекдор
Дослідники з кібербезпеки виявили повнофункціональний бекдор для Windows під назвою NANOREMOTE, який використовує API Google Диска для своїх операцій командування та управління (C2). Це шкідливе програмне забезпечення має складні можливості для витоку даних та віддалених операцій, що робить його значною загрозою для цільових організацій.
Зміст
Посилання на попередню активність із загрозами
NANOREMOTE має помітну схожість коду з іншим імплантатом, відомим як FINALDRAFT (також званий Squidoor), який використовує API Microsoft Graph для C2. FINALDRAFT відносять до кластера загроз з позначкою REF7707 (також відомого як CL-STA-0049, Earth Alux та Jewelbug).
Вважається, що REF7707 є підозрюваною китайською групою кібершпигунів, метою якої було:
- Урядові установи
- Оборонні організації
- Телекомунікаційні компанії
- Освітні заклади
- Авіаційні сектори
Активність групи спостерігається у Південно-Східній Азії та Південній Америці з березня 2023 року. Примітно, що у жовтні 2025 року дослідники пов'язали REF7707 із п'ятимісячним вторгненням на російського постачальника ІТ-послуг.
Можливості та архітектура шкідливого програмного забезпечення
Основна функціональність NANOREMOTE зосереджена на використанні API Google Диска як для вилучення даних, так і для розміщення корисного навантаження, створюючи непомітний і важковиявлюваний канал зв'язку для зловмисників. Його система керування завданнями розроблена для черги передачі файлів, обробки призупинення та відновлення цих передач, дозволяє операторам скасовувати поточні операції та генерувати токени оновлення для підтримки постійної активності.
Сам бекдор побудований на C++ і здатний виконувати розвідку заражених хостів, виконувати файли та системні команди, а також переміщувати дані між скомпрометованими середовищами та Google Диском. Він також підтримує зв'язок із жорстко закодованою, немаршрутизуваною IP-адресою, використовуючи стандартний HTTP-трафік. Під час цього зв'язку дані JSON надсилаються через POST-запити після стиснення за допомогою Zlib та шифрування за допомогою AES-CBC з 16-байтовим ключем (558bec83ec40535657833d7440001c00). Усі вихідні запити покладаються на шлях /api/client та ідентифікують себе за допомогою рядка NanoRemote/1.0 User-Agent.
Шкідливе програмне забезпечення використовує набір із 22 обробників команд, які разом дозволяють йому збирати системну інформацію, маніпулювати файлами та каталогами, виконувати портативні виконувані файли, що вже є на диску, очищати кешовані дані, керувати переміщенням файлів на Google Диск і з нього, а також завершувати власну операцію за допомогою інструкцій.
Ланцюг зараження починається із завантажувача, відомого як WMLOADER, хоча метод, який використовується для доставки NANOREMOTE жертвам, залишається невідомим. WMLOADER маскується під компонент обробки збоїв BDReinit.exe, файл, який зазвичай пов'язаний із легітимним інструментом кібербезпеки, і відповідає за розшифровку шелл-коду, який зрештою запускає бекдор.
Запуск бекдору
Артефакт під назвою wmsetup.log, виявлений на Філіппінах 3 жовтня 2025 року, може бути розшифрований WMLOADER за допомогою того ж 16-байтового ключа. Цей журнал виявив імплантат FINALDRAFT, що свідчить про спільну кодову базу та середовище розробки між FINALDRAFT та NANOREMOTE.
Робоча гіпотеза полягає в тому, що WMLOADER використовує той самий жорстко закодований ключ завдяки його інтеграції в уніфікований процес збірки, призначений для обробки кількох корисних навантажень.
