Кибер аюулгүй байдлын судлаачид Google Drive API-г команд-удирдлагын (C2) сувгаар ашигладаг NANOREMOTE нэртэй, бүрэн боломжит Windows backdoor хортой програмын талаарх дэлгэрэнгүй мэдээллийг ил болголоо.
Elastic Security Labs-ийн тайланд дурдсанаар, уг хортой програм нь FINALDRAFT (өөр нэршлээр Squidoor) хэмээх өөр нэг импланттай кодын ижил төстэй байдалтай аж. FINALDRAFT нь REF7707 (мөн CL-STA-0049, Earth Alux, Jewelbug гэж нэрлэгддэг) нэртэй заналхийллийн бүлэглэлд хамаардаг.
Elastic Security Labs-ийн ахлах судлаач Daniel Stepanic-ийн хэлснээр,
“Энэхүү хортой програмын гол онцлог нь хохирогчийн төгсгөлийн цэгээс өгөгдлийг Google Drive API-гаар дамжуулан хоёр чиглэлд дамжуулах боломж юм.”
Тэрээр цааш нь,
“Ингэснээр илрүүлэхэд хүндрэлтэй өгөгдөл хулгайлах болон payload байрлуулах суваг бүрддэг. Хортой програм нь файл дамжуулахад зориулагдсан даалгаврын удирдлагын системтэй бөгөөд татах/байршуулах даалгаврыг дараалалд оруулах, түр зогсоох/үргэлжлүүлэх, цуцлах, мөн refresh token үүсгэх боломжтой” гэж тайлбарлав.
REF7707 нь Palo Alto Networks Unit 42-ийн мэдээллээр 2023 оны 3 дугаар сараас эхлэн Зүүн Өмнөд Ази болон Өмнөд Америкийн засгийн газар, батлан хамгаалах, харилцаа холбоо, боловсрол, нисэхийн салбаруудыг онилж ирсэн, Хятадын гаралтай байж болзошгүй заналхийллийн бүлэглэл гэж үздэг. Харин 2025 оны 10 дугаар сард Broadcom-д харьяалагддаг Symantec тус бүлэглэлийг Оросын IT үйлчилгээ үзүүлэгч байгууллагад таван сарын турш үргэлжилсэн халдлагатай холбон тайлбарласан байна.
NANOREMOTE-ийг анх ямар эхний нэвтрэх сувгаар (initial access vector) тараасан нь одоогоор тодорхойгүй байна. Гэхдээ ажиглагдсан халдлагын гинжин хэлхээнд WMLOADER нэртэй loader багтсан бөгөөд энэ нь Bitdefender-ийн crash handler (BDReinit.exe)-ийг дуурайлган ажиллаж, backdoor-ийг эхлүүлэх shellcode-ийг тайлж гаргадаг.
C++ хэл дээр бичигдсэн NANOREMOTE нь:
-
тандан судалгаа хийх,
-
файл болон команд ажиллуулах,
-
Google Drive API-г ашиглан файл татах/байршуулах
чадвартай. Мөн HTTP протоколоор хатуу кодлогдсон, чиглэгддэггүй IP хаяг руу холбогдон оператороос ирсэн хүсэлтийг боловсруулж, хариуг буцаан илгээхээр тохируулсан байна.
Elastic-ийн мэдээлснээр, бүх хүсэлт:
-
HTTP POST,
-
Zlib-ээр шахагдсан,
-
AES-CBC алгоритмаар 16 байтын түлхүүр (
558bec83ec40535657833d7440001c00) ашиглан шифрлэгдсэн, -
/api/clientURI, -
User-Agent: NanoRemote/1.0
ашиглан дамждаг байна.
Хортой програмын үндсэн үйл ажиллагаа нь 22 командын handler-аар хэрэгждэг бөгөөд дараах боломжуудтай:
-
системийн мэдээлэл цуглуулах,
-
файл, директорын үйлдэл хийх,
-
диск дээр байгаа PE файлуудыг ажиллуулах,
-
cache цэвэрлэх,
-
Google Drive руу/аас файл татах, байршуулах,
-
өгөгдөл дамжуулалтыг түр зогсоох, үргэлжлүүлэх, цуцлах,
-
өөрийгөө устгах.
Elastic мөн 2025 оны 10 дугаар сарын 3-нд Филиппинээс VirusTotal-д байршуулсан wmsetup.log нэртэй artifact-ийг илрүүлсэн бөгөөд энэ нь WMLOADER-оор адил 16 байтын түлхүүрээр тайлагдаж, FINALDRAFT имплантыг ил гаргасан байна. Энэ нь хоёр өөр malware гэр бүл нэг ижил заналхийллийн этгээдийн бүтээл байх магадлалыг улам бататгажээ.
Daniel Stepanic-ийн хэлснээр:
“WMLOADER ижил хатуу кодлогдсон түлхүүр ашиглаж байгаа нь нэг ижил build/хөгжүүлэлтийн процессын хэсэг байж, олон төрлийн payload-той ажиллах боломж олгож байгаа гэж бид таамаглаж байна. Энэ нь FINALDRAFT болон NANOREMOTE хооронд нийтлэг кодын суурь, хөгжүүлэлтийн орчин байгааг харуулж буй бас нэг хүчтэй дохио юм.”
