Pesquisadores em cibersegurança revelaram detalhes de um novo backdoor completo para Windows chamado NANOREMOTE, que utiliza a API do Google Drive para funções de comando e controle (C2).
Segundo um relatório do Elastic Security Labs, o malware apresenta semelhanças de código com outra ameaça conhecida como FINALDRAFT (também chamada de Squidoor), que emprega a Microsoft Graph API para C2.
FINALDRAFT está associada a um grupo identificado como REF7707 (também conhecido como CL-STA-0049, Earth Alux e Jewelbug).
“Uma das principais funcionalidades do malware é a troca de dados entre o endpoint da vítima e o atacante por meio da API do Google Drive”, explicou Daniel Stepanic, pesquisador sênior do Elastic Security Labs.
“Isso cria um canal para roubo de dados e preparação de payloads que é difícil de detectar.
O malware possui um sistema de gerenciamento de tarefas para transferência de arquivos, permitindo enfileiramento, pausa, retomada, cancelamento e geração de tokens de atualização.”
REF7707 é, presumivelmente, um grupo ligado à China, que tem como alvo governos, setores de defesa, telecomunicações, educação e aviação no Sudeste Asiático e na América do Sul desde março de 2023, conforme relatado pela Unit 42, da Palo Alto Networks.
Em outubro de 2023, a Symantec, parte da Broadcom, associou esse grupo a uma infiltração de cinco meses direcionada a um provedor russo de serviços de TI.
O vetor inicial de acesso utilizado para a entrega do NANOREMOTE ainda não foi identificado.
Contudo, a cadeia de ataque observada inclui um loader chamado WMLOADER, que simula o componente de tratamento de falhas do Bitdefender (“BDReinit.exe”) e descriptografa shellcodes responsáveis por ativar o backdoor.
Desenvolvido em C++, NANOREMOTE é capaz de realizar reconhecimento, executar arquivos e comandos, além de enviar e receber arquivos usando a API do Google Drive.
Ele também está configurado para se comunicar via HTTP com um endereço IP fixo não roteável, processando requisições enviadas pelo operador e enviando respostas.
“As requisições ocorrem via HTTP, com dados em JSON transmitidos por POST requests, comprimidos com Zlib e criptografados com AES-CBC usando uma chave de 16 bytes (558bec83ec40535657833d7440001c00)”, detalhou a Elastic.
“Todas as chamadas utilizam o URI /api/client, com User-Agent (NanoRemote/1.0).”
Sua funcionalidade principal é gerenciada por 22 comandos que permitem coletar informações do sistema, manipular arquivos e pastas, executar arquivos PE (Portable Executable) locais, limpar cache, gerenciar uploads e downloads no Google Drive, controlar transferências de dados e até encerrar o próprio malware.
A Elastic identificou um artefato chamado “wmsetup.log”, enviado ao VirusTotal nas Filipinas em 3 de outubro de 2023, que pode ser descriptografado pelo WMLOADER com a mesma chave de 16 bytes para revelar um implante FINALDRAFT.
Isso sugere que as duas famílias de malware compartilham o mesmo grupo criminoso.
Ainda não está claro por que a mesma chave é usada em ambos.
“Nossa hipótese é que o WMLOADER utiliza essa chave fixa porque faz parte do mesmo processo de desenvolvimento que funciona com múltiplos payloads”, disse Stepanic.
“Essa é uma forte indicação de que FINALDRAFT e NANOREMOTE compartilham código e ambiente de desenvolvimento.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...