Малверот NANOREMOTE користи Google Drive API за скриена контрола на Windows системи

Истражувачите за сајбер-безбедност објавија детали за нов, целосно функционален Windows бекдор наречен NANOREMOTE, кој го користи Google Drive API за цели на командно-контролен систем (C2).

Според извештајот на Elastic Security Labs, малверот има сличности во кодот со друг имплант со кодно име FINALDRAFT (познат и како Squidoor), кој го користи Microsoft Graph API за C2. FINALDRAFT се припишува на група за закани позната како REF7707 (позната и како CL-STA-0049, Earth Alux и Jewelbug).

„Една од главните функции на малверот е поврзана со испраќање и примање на податоци од жртви преку Google Drive API,“ изјави Daniel Stepanic, главен истражувач за безбедност во Elastic Security Labs. „Оваа функција создава канал за кражба на податоци и ставање на payload-от, што е тешко за детекција. Малверот вклучува систем за управување со задачи кој овозможува трансфер на датотеки, вклучувајќи редици за задачи за симнување/качување, пауза/поновно продолжување на трансфери, откажување трансфери и генерирање на refresh токени.“

Се верува дека REF7707 е сомнителна кинеска активностна група која го таргетирала владините, одбранбените, телекомуникациските, образовните и авијациските сектори во Југоисточна Азија и Јужна Америка уште од март 2023 година, според Palo Alto Networks Unit 42. Во октомври 2025, Symantec, кој е во сопственост на Broadcom, ја припиша групата на петмесечна упадна кампања насочена кон руски IT сервис провајдер.

Точниот вектор за почетен пристап што се користи за испорака на NANOREMOTE моментално не е познат. Сепак, забележаниот нападен синџир вклучува лоудер наречен WMLOADER кој го имитира Bitdefender компонентот за справување со падови („BDReinit.exe“) и дешифрира shellcode одговорен за стартување на бекдорот.

Напишан во C++, NANOREMOTE е опремен да врши извидување, да извршува датотеки и команди, и да пренесува датотеки до и од околините на жртвите користејќи го Google Drive API. Исто така е претходно конфигуриран да комуницира со хард-кодирана, нерутабилна IP адреса преку HTTP за да ги обработува барањата испратени од операторот и да го враќа одговорот назад.

„Овие барања се извршуваат преку HTTP, при што JSON податоците се поднесуваат преку POST барања кои се компресирани со Zlib и енкриптирани со AES-CBC користејќи 16-бајтен клуч (558bec83ec40535657833d7440001c00),“ велат од Elastic. „URI-то за сите барања го користи /api/client со User-Agent (NanoRemote/1.0).“ Неговата примарна функционалност се реализира преку сет од 22 командни хендлери кои му овозможуваат да собира информации за хостот, да извршува операции со датотеки и директориуми, да стартува portable executable (PE) датотеки веќе присутни на дискот, да го чисти кешот, да симнува/качува датотеки на Google Drive, да паузира/продолжува/откажува пренос на податоци и да се исклучи сам.

Elastic наведе дека идентификувал артефакт („wmsetup.log“) качен на VirusTotal од Филипините на 3 октомври 2025, кој може да биде дешифриран од WMLOADER со истиот 16-бајтен клуч и да открие FINALDRAFT имплант, што укажува дека двете малвер-семејства најверојатно се дело на ист заканувач. Не е јасно зошто истиот хард-кодиран клуч се користи кај двата. „Нашата хипотеза е дека WMLOADER го користи истиот хард-кодиран клуч затоа што е дел од истиот процес на градење/развој што му овозможува да работи со различни payload-и,“ изјави Степаник. „Ова изгледа како уште еден силен сигнал што укажува на заедничка кодна база и развоен екосистем помеѓу FINALDRAFT и NANOREMOTE.“

Извори:

• The Hacker News – NANOREMOTE Malware Uses Google Drive API for Hidden Control on Windows Systems The Hacker News