Kibertəhlükəsizlik tədqiqatçıları Google Drive API-dən komanda-idarəetmə (C2) məqsədləri üçün istifadə edən, NANOREMOTE adlı, tam funksional yeni bir Windows backdoor-u haqqında detalları açıqlayıblar.
Elastic Security Labs-ın hesabatına görə, bu zərərli proqram Microsoft Graph API-dən C2 üçün istifadə edən FINALDRAFT (Squidoor adı ilə də tanınır) kodadı implant ilə oxşar kod xüsusiyyətlərini bölüşür. FINALDRAFT isə REF7707 kimi tanınan (CL-STA-0049, Earth Alux və Jewelbug adları ilə də qeyd olunur) təhdid klasterinə aid edilir.
Elastic Security Labs-ın baş təhlükəsizlik tədqiqatçısı Daniel Stepanic bildirib:
“Bu zərərli proqramın əsas funksiyalarından biri qurbanın sistemindən məlumatların Google Drive API vasitəsilə göndərilməsi və alınması üzərində qurulub.”
“Bu funksiya nəticə etibarilə məlumat oğurluğu və aşkar edilməsi çətin olan payload yerləşdirməsi üçün bir kanal yaradır. Zərərli proqramda fayl ötürmə imkanları üçün istifadə olunan tapşırıq idarəetmə sistemi mövcuddur və bu sistem yükləmə/endirmə tapşırıqlarının növbəyə salınmasını, fayl ötürmələrinin dayandırılıb davam etdirilməsini, ləğv edilməsini və yeniləmə tokenlərinin yaradılmasını təmin edir.”
Palo Alto Networks Unit 42-yə görə, REF7707-nin Çin mənşəli olduğu ehtimal edilən bir fəaliyyət qruplaşması olduğu düşünülür və 2023-cü ilin mart ayından bəri Cənub-Şərqi Asiya və Cənubi Amerikada hökumət, müdafiə, telekommunikasiya, təhsil və aviasiya sektorlarını hədəf alıb. 2025-ci ilin oktyabrında Broadcom-a məxsus Symantec bu haker qrupunu Rusiyada fəaliyyət göstərən bir İT xidmət təminatçısına qarşı beş ay davam edən müdaxilə kampaniyası ilə əlaqələndirib.
NANOREMOTE-un yayılması üçün istifadə olunan ilkin giriş vektoru dəqiq olaraq məlum deyil. Lakin müşahidə olunan hücum zəncirinə Bitdefender-in çökmə emalı komponentini (“BDReinit.exe”) təqlid edən WMLOADER adlı yükləyici daxildir və bu yükləyici backdoor-u işə salmağa cavabdeh olan shellcode-u deşifrə edir.
C++ dilində yazılmış NANOREMOTE kəşfiyyat aparmaq, faylları və əmrləri icra etmək, həmçinin Google Drive API vasitəsilə qurban sisteminə və ya sistemindən fayl ötürmək imkanlarına malikdir. Bundan əlavə, operatorun göndərdiyi sorğuları emal etmək və cavabları geri göndərmək üçün sərt şəkildə (hard-coded) təyin olunmuş, marşrutlaşdırıla bilməyən IP ünvanı ilə HTTP üzərindən əlaqə saxlamaq üçün əvvəlcədən konfiqurasiya edilib.
Elastic-in məlumatına görə:
“Bu sorğular HTTP üzərindən həyata keçirilir və JSON məlumatları POST sorğuları ilə göndərilir, hansı ki, Zlib ilə sıxılır və 16-baytlıq açardan (558bec83ec40535657833d7440001c00) istifadə edən AES-CBC ilə şifrlənir. Bütün sorğular üçün istifadə olunan URI /api/client-dir və User-Agent dəyəri NanoRemote/1.0 olaraq qeyd edilib.”
Onun əsas funksionallığı host haqqında məlumat toplamaq, fayl və qovluq əməliyyatlarını icra etmək, diskdə artıq mövcud olan PE (portable executable) fayllarını işə salmaq, keş (cache) təmizləmək, faylları Google Drive-a yükləmək və ya oradan endirmək, məlumat ötürmələrini dayandırmaq/davam etdirmək/ləğv etmək və özünü sonlandırmaq kimi əməliyyatları yerinə yetirməyə imkan verən 22 komanda emalçısı vasitəsilə həyata keçirilir.
Elastic bildirib ki, 3 oktyabr 2025-ci ildə Filippinlərdən VirusTotal-a yüklənmiş və eyni 16-baytlıq açar ilə WMLOADER tərəfindən deşifrə edilə bilən “wmsetup.log” adlı artefakt aşkar edilib. Deşifrələnmiş məlumat FINALDRAFT implantını ortaya çıxarır və bu, hər iki zərərli proqram ailəsinin çox güman ki, eyni təhdid aktoru tərəfindən yaradıldığını göstərir. Hər iki proqramda eyni sərt şəkildə təyin olunmuş (hard-coded) açarın niyə istifadə edildiyi isə məlum deyil.
Stepanic bunu belə izah edir:
“Hipotezimiz budur ki, WMLOADER müxtəlif payload-larla işləməyə imkan verən eyni build/tərtibat prosesinin bir hissəsi olduğuna görə eyni hard-coded açardan istifadə edir. Bu, FINALDRAFT və NANOREMOTE arasında ortaq kod bazası və eyni inkişaf mühitinin mövcudluğuna işarə edən daha bir güclü göstəricidir.”
