Το κακόβουλο λογισμικό NANOREMOTE αξιοποιεί το Google Drive API για Command-and-Control (C2) για να επιτεθεί σε συστήματα Windows

Μια εξελιγμένη νέα κερκόπορτα των Windows με το όνομα NANOREMOTE εμφανίστηκε τον Οκτώβριο του 2025, παρουσιάζοντας σημαντική απειλή για τα εταιρικά περιβάλλοντα αξιοποιώντας τη νόμιμη υποδομή cloud για κακόβουλους σκοπούς.

Αυτό το πλήρως εξοπλισμένο κακόβουλο λογισμικό χρησιμοποιεί το Google Drive API ως το κύριο κανάλι Command-and-Control (C2), επιτρέποντας στους παράγοντες απειλών να συνδυάζουν απρόσκοπτα την κακόβουλη κυκλοφορία τους με την κανονική δραστηριότητα δικτύου.

Με την κατάχρηση αξιόπιστων υπηρεσιών, το NANOREMOTE παρακάμπτει τους παραδοσιακούς μηχανισμούς ανίχνευσης που βασίζονται σε δίκτυο, επιτρέποντας τη μυστική εξαγωγή δεδομένων και τη σταδιοποίηση ωφέλιμου φορτίου.

Το κακόβουλο λογισμικό είναι γραμμένο σε C και μοιράζεται σημαντικές ομοιότητες κώδικα με το εμφύτευμα FINALDRAFT που προσδιορίστηκε προηγουμένως, υποδηλώνοντας μια κοινή γενεαλογία ανάπτυξης ή έναν κοινό συγγραφέα.

Η αλυσίδα μόλυνσης συνήθως ξεκινά με ένα στοιχείο φόρτωσης γνωστό ως WMLOADER, το οποίο συχνά μεταμφιέζεται ως ένα νόμιμο εκτελέσιμο αρχείο ασφαλείας όπως το BDReinit.exe του Bitdefender για να αποφύγει τις υποψίες.

Κατά την εκτέλεση, το WMLOADER αποκρυπτογραφεί ένα αρχείο ωφέλιμου φορτίου με το όνομα wmsetup.log χρησιμοποιώντας έναν αλγόριθμο AES-CBC, εκκινώντας στη συνέχεια το backdoor NANOREMOTE απευθείας στη μνήμη.

Αυτή η μέθοδος ελαχιστοποιεί το αποτύπωμα του κακόβουλου λογισμικού στο δίσκο, περιπλέκοντας την εγκληματολογική ανάλυση και αποτρέποντας την αποτελεσματική λειτουργία απλών υπογραφών ανίχνευσης που βασίζονται σε αρχεία.

Αναλυτές ασφαλείας της Elastic Security Labs αναγνωρισθείς ότι πέρα ​​από τον κύριο μηχανισμό C2, το NANOREMOTE ενσωματώνει προηγμένες τεχνικές αποφυγής, όπως το αγκίστρωση API μέσω της βιβλιοθήκης Microsoft Detours για την παρακολούθηση κλήσεων τερματισμού της διαδικασίας.

Αυτό διασφαλίζει ότι το κακόβουλο λογισμικό διατηρεί την επιμονή και την ανθεκτικότητα έναντι σφαλμάτων.

Το εμφύτευμα διαθέτει επίσης έναν προσαρμοσμένο φορτωτή PE που προέρχεται από τη βιβλιοθήκη libPeConv, που του επιτρέπει να φορτώνει και να εκτελεί πρόσθετες εκτελέσιμες μονάδες απευθείας από το δίσκο ή τη μνήμη χωρίς να βασίζεται στον τυπικό φορτωτή των Windows. Αυτά τα χαρακτηριστικά υπογραμμίζουν την πολυπλοκότητα της απειλής.

Αρχιτεκτονική επικοινωνίας Google Drive C2

Το πιο ξεχωριστό χαρακτηριστικό του NANOREMOTE είναι η εξάρτησή του από το Google Drive API για αμφίδρομη επικοινωνία.

Το κακόβουλο λογισμικό ελέγχει την ταυτότητα χρησιμοποιώντας σκληρά κωδικοποιημένα διακριτικά OAuth 2.0, συμπεριλαμβανομένων των Client ID και των Refresh Tokens, που είναι αποθηκευμένα σε μια συμβολοσειρά διαμόρφωσης διαχωρισμένη από σωλήνα.

Οι επικοινωνίες ασφαλίζονται μέσω HTTPS και περιορίζονται περαιτέρω χρησιμοποιώντας συμπίεση Zlib και κρυπτογράφηση AES.

Το κακόβουλο λογισμικό λειτουργεί χρησιμοποιώντας έναν μηχανισμό δημοσκόπησης όπου ελέγχει για εργασίες σε ουρά, όπως μεταφορτώσεις αρχείων ή λήψεις, που έχουν εκχωρηθεί από τον χειριστή.

Η λήψη από το Google Drive δείχνει πώς εμφανίζονται αυτά τα αιτήματα στο δίκτυο, μιμούμενοι τις νόμιμες κλήσεις API. Για να διευκολύνει αυτές τις λειτουργίες, το NANOREMOTE χρησιμοποιεί συγκεκριμένους χειριστές εντολών.

Για παράδειγμα, το Handler 16 και το Handler 17 είναι υπεύθυνοι για την ουρά των εργασιών λήψης και μεταφόρτωσης, αντίστοιχα. Το κακόβουλο λογισμικό αναλύει τις απαντήσεις JSON από το API του Google Drive για να εκτελέσει οδηγίες.

Το γράφημα ροής ελέγχου δείχνει τους χειριστές εντολών. το κακόβουλο λογισμικό αποστέλλει εργασίες με βάση μια δήλωση διακόπτη που καλύπτει 22 διακριτές εντολές.

Αυτή η δομή επιτρέπει στους εισβολείς να ελέγχουν με ακρίβεια το μηχάνημα-θύμα, να διαχειρίζονται αρχεία και να εκτελούν ωφέλιμα φορτία ενώ κρύβονται μέσα στην κρυπτογραφημένη κίνηση.