NANOREMOTE Backdoor: Nguy Hiểm Lợi Dụng Google Drive C2

Vào tháng 10 năm 2025, một biến thể NANOREMOTE backdoor mới và tinh vi dành cho hệ điều hành Windows đã xuất hiện, gây ra mối đe dọa đáng kể cho các môi trường doanh nghiệp. Mã độc này tận dụng cơ sở hạ tầng đám mây hợp pháp để thực hiện các mục đích độc hại, đặc biệt là sử dụng API Google Drive làm kênh Command-and-Control (C2) chính. Phương pháp này cho phép tác nhân đe dọa hòa trộn lưu lượng độc hại với các hoạt động mạng thông thường, vượt qua các cơ chế phát hiện truyền thống.

Việc lạm dụng các dịch vụ đáng tin cậy giúp NANOREMOTE backdoor thực hiện các hoạt động rò rỉ dữ liệu một cách lén lút và chuẩn bị các payload tấn công. Mã độc này được viết bằng ngôn ngữ C và có nhiều điểm tương đồng về mã nguồn với implant FINALDRAFT đã được xác định trước đây, gợi ý về một nguồn gốc phát triển chung hoặc cùng một tác giả.

Quy trình lây nhiễm ban đầu của NANOREMOTE

Chuỗi lây nhiễm của NANOREMOTE backdoor thường khởi đầu bằng một thành phần loader có tên là WMLOADER. Thành phần này thường ngụy trang thành một tệp thực thi bảo mật hợp pháp, chẳng hạn như BDReinit.exe của Bitdefender, nhằm tránh sự nghi ngờ từ người dùng và hệ thống phòng thủ.

Sau khi được thực thi, WMLOADER sẽ giải mã một tệp payload có tên là wmsetup.log. Quá trình giải mã này sử dụng thuật toán AES-CBC. Ngay sau đó, backdoor NANOREMOTE sẽ được khởi chạy trực tiếp vào bộ nhớ.

Phương pháp thực thi trong bộ nhớ này giúp giảm thiểu dấu vết của mã độc trên đĩa cứng. Điều này làm phức tạp quá trình phân tích pháp y và ngăn chặn các chữ ký phát hiện dựa trên tệp hoạt động hiệu quả.

Cơ chế Command-and-Control (C2) qua Google Drive

Tính năng độc đáo nhất của NANOREMOTE backdoor là sự phụ thuộc vào API Google Drive để thực hiện giao tiếp hai chiều. Mã độc này xác thực bằng cách sử dụng các OAuth 2.0 tokens được mã hóa cứng, bao gồm Client IDs và Refresh Tokens. Các thông tin này được lưu trữ trong một chuỗi cấu hình được phân tách bằng ký tự pipe.

Giao tiếp được bảo mật qua HTTPS và tiếp tục được che giấu bằng cách sử dụng nén Zlib và mã hóa AES. Mã độc hoạt động theo cơ chế thăm dò (polling mechanism), nơi nó kiểm tra các tác vụ đang chờ, chẳng hạn như tải lên hoặc tải xuống tệp, được chỉ định bởi kẻ tấn công.

Cách tải xuống từ Google Drive minh họa cách các yêu cầu này xuất hiện trên mạng, bắt chước các cuộc gọi API hợp pháp. Để tạo điều kiện cho các hoạt động này, NANOREMOTE sử dụng các bộ xử lý lệnh (command handlers) cụ thể.

Ví dụ, Handler 16 và Handler 17 chịu trách nhiệm xếp hàng các tác vụ tải xuống và tải lên tương ứng. Mã độc phân tích các phản hồi JSON từ API Google Drive để thực hiện các lệnh. Biểu đồ luồng điều khiển cho thấy các bộ xử lý lệnh; mã độc gửi các tác vụ dựa trên một câu lệnh chuyển đổi (switch statement) bao gồm 22 lệnh riêng biệt. Cấu trúc này cho phép kẻ tấn công kiểm soát chính xác máy nạn nhân, quản lý tệp và thực thi payload trong khi ẩn mình trong lưu lượng mã hóa.

Kỹ thuật lẩn tránh và duy trì quyền kiểm soát nâng cao

Ngoài cơ chế C2 chính, các nhà phân tích bảo mật từ Elastic Security Labs đã xác định rằng NANOREMOTE backdoor còn tích hợp các kỹ thuật lẩn tránh nâng cao. Một trong số đó là kỹ thuật API hooking thông qua thư viện Microsoft Detours để chặn các cuộc gọi chấm dứt tiến trình.

Kỹ thuật này đảm bảo mã độc duy trì tính bền bỉ và khả năng chống lại các sự cố hoặc nỗ lực chấm dứt. Bằng cách can thiệp vào các API hệ thống, mã độc có thể tự bảo vệ khỏi bị gỡ bỏ hoặc bị dừng đột ngột.

Implant này cũng có một trình tải PE (PE loader) tùy chỉnh, được phát triển từ thư viện libPeConv. Điều này cho phép nó tải và thực thi các mô-đun thực thi bổ sung trực tiếp từ đĩa hoặc bộ nhớ mà không cần dựa vào trình tải Windows tiêu chuẩn. Tính năng này tăng cường khả năng tàng hình của NANOREMOTE backdoor, làm phức tạp thêm việc phát hiện và phân tích.

Sự tinh vi của NANOREMOTE thông qua việc lạm dụng ứng dụng OAuth và các kỹ thuật che giấu lưu lượng như làm xáo trộn dữ liệu cho thấy một mối đe dọa mạng được thiết kế kỹ lưỡng. Các chuyên gia bảo mật cần theo dõi chặt chẽ các xu hướng tương tự và triển khai giải pháp giám sát mạng hiệu quả để phát hiện các hoạt động bất thường.

Chỉ số nhận diện (Indicators of Compromise – IOCs)

Để hỗ trợ việc phát hiện và ứng phó với NANOREMOTE backdoor, các chỉ số nhận diện sau đây có thể được sử dụng:

• Tên thành phần loader: WMLOADER
• Tên tệp ngụy trang thường gặp: BDReinit.exe
• Tên tệp payload đã giải mã: wmsetup.log
• API được lạm dụng: Google Drive API
• Giao thức và kỹ thuật mã hóa/nén: HTTPS, AES-CBC, Zlib
• Thư viện được sử dụng: Microsoft Detours, libPeConv