Эксперты обнаружили новую вредоносную программу NANOREMOTE, связанную с кибершпионажем

Основной особенностью NANOREMOTE является использование API Google Drive для передачи данных между скомпрометированной системой и злоумышленниками. Этот канал обеспечивает кражу данных и размещение дополнительных вредоносных модулей (payload), оставаясь при этом сложным для обнаружения. Программа включает систему управления задачами для передачи файлов, поддерживающую постановку заданий на загрузку и выгрузку в очередь, их приостановку, возобновление, отмену, а также генерацию токенов обновления.

Атака начинается с загрузчика WMLOADER, который маскируется под программу безопасности Bitdefender. После выполнения он расшифровывает и выполняет в памяти шелл-код, который, в свою очередь, находит файл "wmsetup.log", дешифрует его с помощью AES-CBC и запускает основную нагрузку - бэкдор NANOREMOTE.

NANOREMOTE представляет собой 64-битный исполняемый файл Windows, написанный на C++ без обфускации. Он обладает широким набором функций для разведки, выполнения команд и файловых операций. Связь с командным сервером (C2) осуществляется по HTTP с использованием сжатия Zlib и шифрования AES-CBC. Бэкдор поддерживает 22 команды, включая сбор информации о системе, выполнение произвольных команд, перемещение файлов и работу с дисками.

Особого внимания заслуживает функционал для скрытной загрузки исполняемых файлов (PE) как с диска, так и непосредственно из памяти. Для этого NANOREMOTE использует открытую библиотеку libPeConv. Кроме того, в коде применяется библиотека Microsoft Detours для перехвата системных функций, связанных с завершением процессов, что повышает устойчивость вредоносной программы.

Ключевой угрозой является механизм передачи файлов через Google Drive API. NANOREMOTE может аутентифицироваться с использованием нескольких учетных записей Google, конфигурация которых передается через переменную окружения "NR_GOOGLE_ACCOUNTS". Зашифрованный трафик к доверенному облачному сервису позволяет злоумышленникам незаметно выгружать данные и загружать дополнительные инструменты, маскируя свою активность под легитимный трафик.

Анализ кода выявил значительное сходство между NANOREMOTE и ранее известным имплантом FINALDRAFT. Обнаружено повторное использование кода для генерации уникального идентификатора машины на основе GUID и хеш-функции FNV, а также сходство в логике HTTP-запросов. Важным доказательством связи является то, что один и тот же загрузчик WMLOADER с идентичным AES-ключом может использоваться для дешифровки как NANOREMOTE, так и FINALDRAFT.

Это указывает на общую кодовую базу и среду разработки, что позволяет связать NANOREMOTE с группой угроз, занимающейся кибершпионажем. Использование легитимных облачных сервисов и открытых библиотек усложняет задачу защитникам, полагающимся на сигнатуры и базовый анализ сетевого трафика. Эксперты Elastic отмечают, что их решение Elastic Defend способно предотвратить данную цепочку атак с помощью поведенческих правил, классификатора машинного обучения и функций защиты памяти.

SHA256

• 35593a51ecc14e68181b2de8f82dde8c18f27f16fcebedbbdac78371ff4f8d41
• 57e0e560801687a8691c704f79da0c1dbdd0f7d5cc671a6ce07ec0040205d728
• 999648bd814ea5b1e97918366c6bd0f82b88f5675da1d4133257b9e6f4121475
• b26927ca4342a19e9314cf05ee9d9a4bddf7b848def2db941dd281d692eaa73c
• fff31726d253458f2c29233d37ee4caf43c5252f58df76c0dced71c4014d6902