Elastic 安全实验室发现了一款技术先进的新型 Windows 后门程序,该程序借助谷歌云端硬盘(Google Drive)这一受信任的基础设施,实现躲避检测与窃取敏感数据的攻击目的。这款恶意软件被命名为NANOREMOTE,最早于 2025 年 10 月被监测到,其开发者被认定为经验丰富的间谍威胁攻击者,且该组织曾参与多起备受关注的攻击行动。
这款后门程序的显著特点,在于它利用合法云服务开展命令与控制(C2)操作,能够将恶意流量完全混入正常的网络活动中,从而规避检测。
NANOREMOTE 最独特的功能,是可以 **“借助谷歌云端硬盘 API,在受害终端与攻击者之间双向传输数据”**。该恶意软件通过 OAuth 2.0 令牌向谷歌服务器完成身份验证,以此搭建起隐秘的数据窃取与载荷投放通道,而这类通道极难被传统安全工具识别。
这款恶意软件搭载了一套完善的任务管理系统,专门用于处理数据传输工作。它可对下载和上传任务进行排队管理、支持文件传输的暂停与恢复,甚至能生成刷新令牌,在无需用户交互的前提下持续维持访问权限。
该恶意软件的感染链路,由一个名为WMLOADER的诱骗型加载器组件启动。此加载器会伪装成一款合法的安全程序,具体是名为
BDReinit.exe的比特梵德(Bitdefender)崩溃处理程序。但与正版程序不同的是,这个恶意文件携带的是无效的数字签名。WMLOADER 被执行后,会依次完成一系列复杂的解密步骤:
- Shellcode 解密:采用滚动异或(XOR)算法,对嵌入自身的 Shellcode 进行解密。
-
载荷加载:解密后的 Shellcode 会在同一目录下搜索名为
wmsetup.log的文件。 -
最终解密:通过AES-CBC 加密算法,使用一个硬编码的 16 字节密钥(
3A5AD78097D944AC)对该日志文件进行解密,最终在内存中释放并执行 NANOREMOTE 后门程序。
NANOREMOTE 是一款基于 C++ 编写的全功能恶意植入程序,它整合了多个开源项目的高级功能,以此提升自身的隐蔽性与稳定性:
-
自定义 PE 文件加载:借助
libPeConv库,直接从磁盘或内存中加载并执行可移植可执行文件(PE),绕过 Windows 标准加载器,从而躲避检测。 -
API 挂钩:利用微软
Detours工具,对ExitProcess和FatalExit等关键进程终止函数实施挂钩。这一弹性机制可防止单个工作线程故障导致整个恶意软件进程崩溃。
Elastic 安全实验室已证实,NANOREMOTE 与威胁集群 REF7707 存在关联,而该威胁集群此前就与 FINALDRAFT 恶意软件家族有牵连。多项强有力的取证证据支撑了这一关联结论:
- 代码复用:两款恶意植入程序中,用于生成 GUID 并通过 Fowler-Noll-Vo(FNV)算法进行哈希计算的代码完全相同。
-
加密密钥复用:最确凿的证据是,NANOREMOTE 与 FINALDRAFT 在解密载荷时,使用的是完全相同的 AES 密钥(
3A5AD78097D944AC)。
报告的结论指出:“这一关联再次提供了强有力的信号,表明 FINALDRAFT 与 NANOREMOTE 两款恶意软件共享代码库与开发环境。”
发表评论
您还未登录,请先登录。
登录