มัลแวร์ NANOREMOTE ซ่อนการควบคุมผ่าน Google Drive API เจาะระบบ Windows - คล้าย FINALDRAFT!

Published:

ทีมนักวิจัยความมั่นคงทางไซเบอร์ได้เปิดเผยรายละเอียดของมัลแวร์ประตูหลัง (backdoor) ตัวใหม่สำหรับระบบปฏิบัติการ Windows ที่มีชื่อว่า NANOREMOTE ซึ่งมีฟีเจอร์ครบครัน และที่สำคัญคือมันใช้ Google Drive API ในการสั่งการและควบคุม (Command-and-Control หรือ C2) ทำให้ยากต่อการตรวจจับ

NANOREMOTE คืออะไร?

  • Backdoor เต็มรูปแบบ: เป็นมัลแวร์ที่ออกแบบมาเพื่อเปิดช่องทางลับให้ผู้โจมตีเข้าถึงและควบคุมระบบ Windows ของเหยื่อ
  • กลไก C2 สุดแนบเนียน: ใช้ Google Drive API เป็นช่องทางหลักในการรับคำสั่งและส่งข้อมูลกลับออกจากเครื่องเหยื่อ ทำให้กิจกรรมนี้กลมกลืนไปกับการใช้งานบริการคลาวด์ปกติ
  • ฟีเจอร์หลัก: เน้นการจัดการงานถ่ายโอนไฟล์ เช่น การจัดคิวการดาวน์โหลด/อัปโหลด การหยุด/ดำเนินการต่อ และการขโมยข้อมูล

ความเชื่อมโยงกับ FINALDRAFT

  • นักวิจัยจาก Elastic Security Labs ชี้ว่า NANOREMOTE มีความคล้ายคลึงทางโครงสร้างโค้ดกับมัลแวร์อีกตัวชื่อ FINALDRAFT (หรือ Squidoor) ซึ่งใช้ Microsoft Graph API สำหรับ C2
  • FINALDRAFT ถูกระบุว่าเป็นฝีมือของกลุ่มภัยคุกคามที่ชื่อว่า REF7707 (หรือ Earth Alux / Jewelbug)
  • มีการพบไฟล์ที่ถูกอัปโหลดจากฟิลิปปินส์เมื่อเดือนตุลาคม 2568 ซึ่งสามารถถอดรหัสออกมาเป็น FINALDRAFT ได้ด้วยคีย์เดียวกันกับที่ใช้ใน NANOREMOTE ซึ่งบ่งชี้ว่ามัลแวร์ทั้งสองตัวนี้น่าจะมาจาก ผู้พัฒนาเดียวกัน หรือใช้โค้ดเบสร่วมกัน

วิธีการทำงานและการโจมตี

  • ภาษาที่ใช้พัฒนา: มัลแวร์เขียนด้วยภาษา C++
  • ความสามารถ: ตรวจสอบข้อมูลระบบ (reconnaissance), รันไฟล์และคำสั่งต่างๆ, และถ่ายโอนไฟล์ผ่าน Google Drive API
  • ช่องทางเสริม: มัลแวร์ยังถูกตั้งค่าไว้ล่วงหน้าให้สื่อสารกับ IP Address ที่ถูก hard-code ไว้ผ่าน HTTP โดยมีการบีบอัดข้อมูลด้วย Zlib และเข้ารหัสด้วย AES-CBC
  • ตัวนำส่ง (Loader): แม้ยังไม่ทราบวิธีการเข้าถึงระบบในตอนแรก (Initial Access) แต่พบว่ามีการใช้ตัวโหลดชื่อ WMLOADER ที่ปลอมตัวเป็นส่วนประกอบจัดการข้อผิดพลาดของโปรแกรม Bitdefender ("BDReinit.exe") เพื่อถอดรหัสและรันโค้ดเชลล์ (shellcode) ที่จะเปิดใช้งาน NANOREMOTE อีกที
  • REF7707: กลุ่มผู้ต้องสงสัยว่าเป็นกลุ่มกิจกรรมจากจีนนี้ มีเป้าหมายโจมตีรัฐบาล กลาโหม โทรคมนาคม การศึกษา และการบิน ในภูมิภาคเอเชียตะวันออกเฉียงใต้และอเมริกาใต้ตั้งแต่ปี 2566

การใช้บริการคลาวด์ที่ถูกกฎหมายอย่าง Google Drive API หรือ Microsoft Graph API ในการเป็นช่องทางการควบคุมมัลแวร์ (C2) ถือเป็นเทคนิคที่อันตรายและฉลาดมาก เพราะมันทำให้การตรวจจับจากระบบรักษาความปลอดภัยทั่วไปเป็นเรื่องที่ยากลำบากยิ่งขึ้น เนื่องจากกิจกรรมดูเหมือนเป็นการใช้งานคลาวด์ปกติของผู้ใช้ การที่เราต้องเผชิญหน้ากับมัลแวร์ที่พัฒนาอย่างต่อเนื่องและมีการใช้โค้ดร่วมกันในลักษณะนี้ แสดงให้เห็นถึงความซับซ้อนของกลุ่มผู้คุกคามที่ยังคงเป็นภัยคุกคามสำคัญต่อภาคธุรกิจและหน่วยงานรัฐในภูมิภาคของเรา

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์