NANOREMOTE Malware Uses Google Drive API for Hidden Control on Windows Systems

NANOREMOTE : Une porte dérobée discrète s’appuyant sur Google Drive

Une nouvelle menace logicielle malveillante pour Windows, baptisée NANOREMOTE, a été identifiée par les chercheurs en cybersécurité. Ce logiciel, conçu pour l’espionnage, utilise l’API de Google Drive pour ses communications de commande et de contrôle (C2), lui permettant ainsi de dissimuler ses activités. Des similitudes de code ont été observées avec une autre menace, FINALDRAFT, qui utilise quant à elle l’API Microsoft Graph pour des fonctions similaires.

Le groupe d’acteurs de menace REF7707, suspecté d’être d’origine chinoise, est associé à FINALDRAFT et est soupçonné d’être derrière NANOREMOTE. Ce groupe cible depuis mars 2023 des secteurs sensibles tels que la défense, les télécommunications et l’éducation en Asie du Sud-Est et en Amérique du Sud. Une attaque récente contre un fournisseur de services informatiques russe a également été attribuée à ce groupe.

La méthode d’infection initiale de NANOREMOTE n’est pas encore précisément connue, mais la chaîne d’attaque observée implique un composant de chargement, WMLOADER, qui se déguise en un élément de gestion des erreurs de Bitdefender pour lancer le code malveillant.

Points clés :

• Fonctionnalité principale : Utilisation de l’API Google Drive pour les communications C2, le vol de données et le déploiement de charges utiles.
• Capacités : NANOREMOTE peut effectuer des reconnaissances, exécuter des fichiers et des commandes, transférer des fichiers, gérer des téléchargements et des téléversements vers/depuis Google Drive, et interrompre ses propres processus.
• Communications C2 : Les échanges s’effectuent via des requêtes HTTP POST compressées par Zlib et chiffrées AES-CBC avec une clé de 16 octets commune aux deux familles de logiciels malveillants. L’en-tête User-Agent utilisé est “NanoRemote/1.0”.
• Relation avec FINALDRAFT : Des artefacts découverts montrent que WMLOADER peut également déchiffrer et déployer FINALDRAFT, suggérant un développement commun.

Vulnérabilités :

L’article ne mentionne pas de vulnérabilités spécifiques exploitées par NANOREMOTE. L’efficacité de cette menace réside dans son utilisation de services légitimes (Google Drive API) pour masquer ses activités.

Recommandations :

Bien que l’article ne propose pas de recommandations spécifiques, les bonnes pratiques de cybersécurité s’appliquent :

• Surveillance du trafic réseau : Examiner le trafic sortant vers les API de services cloud pour détecter des schémas inhabituels.
• Sécurité des points d’accès : Renforcer les mécanismes de sécurité pour prévenir l’exécution de logiciels malveillants, notamment via des composants de chargement.
• Mises à jour et correctifs : Maintenir les systèmes et les logiciels à jour pour corriger les éventuelles vulnérabilités exploitées par d’autres moyens d’infection.
• Analyse des journaux : Monitorer les journaux système et les activités suspectes, y compris les artefacts liés à des composants de chargement comme WMLOADER.

Source