VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một phần mềm độc hại Windows mới đầy đủ tính năng có tên NANOREMOTE, sử dụng API của Google Drive cho mục đích điều khiển từ xa (C2).

Theo một báo cáo từ Elastic Security Labs, phần mềm độc hại này có những điểm tương đồng về mã với một phần mềm độc hại khác có tên mã là FINALDRAFT (hay còn gọi là Squidoor) sử dụng API Microsoft Graph cho máy chủ điều khiển (C2). FINALDRAFT được cho là thuộc một nhóm mối đe dọa có tên REF7707 (hay còn gọi là CL-STA-0049, Earth Alux và Jewelbug).


Daniel Stepanic, nhà nghiên cứu bảo mật chính tại Elastic Security Labs, cho biết: "Một trong những tính năng chính của phần mềm độc hại này tập trung vào việc vận chuyển dữ liệu qua lại giữa thiết bị đầu cuối của nạn nhân bằng cách sử dụng API của Google Drive."

"Tính năng này tạo ra một kênh để đánh cắp dữ liệu và chuẩn bị tải trọng mà khó bị phát hiện. Phần mềm độc hại bao gồm một hệ thống quản lý tác vụ được sử dụng cho các khả năng truyền tệp, bao gồm xếp hàng các tác vụ tải xuống/tải lên, tạm dừng/tiếp tục truyền tệp, hủy truyền tệp và tạo mã thông báo làm mới."

REF7707 được cho là một nhóm hoạt động nghi ngờ có nguồn gốc từ Trung Quốc, nhắm mục tiêu vào các chính phủ, quốc phòng, viễn thông, giáo dục và hàng không ở Đông Nam Á và Nam Mỹ từ tháng 3 năm 2023, theo Palo Alto Networks Unit 42. Vào tháng 10 năm 2025, Symantec thuộc sở hữu của Broadcom đã quy kết nhóm tin tặc này cho một vụ xâm nhập kéo dài 5 tháng nhắm vào một nhà cung cấp dịch vụ CNTT của Nga.


Hiện chưa rõ phương thức truy cập ban đầu chính xác được sử dụng để phát tán NANOREMOTE. Tuy nhiên, chuỗi tấn công được quan sát bao gồm một trình tải có tên WMLOADER, mô phỏng thành phần xử lý sự cố của Bitdefender ("BDReinit.exe") và giải mã mã shellcode chịu trách nhiệm khởi chạy phần mềm độc hại.

Được viết bằng C++, NANOREMOTE có khả năng thực hiện trinh sát, thực thi các tập tin và lệnh, cũng như truyền tải các tập tin đến và từ môi trường của nạn nhân bằng API Google Drive. Nó cũng được cấu hình sẵn để giao tiếp với một địa chỉ IP cố định, không thể định tuyến qua HTTP để xử lý các yêu cầu do người điều hành gửi và gửi phản hồi trở lại.

Elastic cho biết: "Các yêu cầu này được thực hiện qua giao thức HTTP, trong đó dữ liệu JSON được gửi qua các yêu cầu POST được nén bằng Zlib và mã hóa bằng AES-CBC sử dụng khóa 16 byte (558bec83ec40535657833d7440001c00). URI cho tất cả các yêu cầu đều sử dụng /api/client với User-Agent (NanoRemote/1.0)."

Chức năng chính của nó được thực hiện thông qua một tập hợp 22 trình xử lý lệnh cho phép nó thu thập thông tin máy chủ, thực hiện các thao tác với tệp và thư mục, chạy các tệp thực thi di động (PE) đã có sẵn trên đĩa, xóa bộ nhớ cache, tải xuống/tải lên tệp lên Google Drive, tạm dừng/tiếp tục/hủy bỏ quá trình truyền dữ liệu và tự chấm dứt hoạt động.

Elastic cho biết họ đã xác định được một tệp tin (" wmsetup.log ") được tải lên VirusTotal từ Philippines vào ngày 3 tháng 10 năm 2025, có khả năng được giải mã bởi WMLOADER với cùng một khóa 16 byte để tiết lộ một phần mềm độc hại FINALDRAFT, cho thấy rằng hai họ phần mềm độc hại này có khả năng là tác phẩm của cùng một kẻ tấn công. Hiện vẫn chưa rõ lý do tại sao cùng một khóa được mã hóa cứng lại được sử dụng cho cả hai.

"Giả thuyết của chúng tôi là WMLOADER sử dụng cùng một khóa được mã hóa cứng do là một phần của cùng một quy trình xây dựng/phát triển cho phép nó hoạt động với nhiều loại dữ liệu khác nhau," Stepanic nói. "Đây dường như là một tín hiệu mạnh mẽ khác cho thấy có sự chia sẻ mã nguồn và môi trường phát triển giữa FINALDRAFT và NANOREMOTE."