NANOREMOTE: Google Drive API ile Kontrol Edilen Yeni Tehdit
Cybersecurity araştırmacıları, Google Drive API’sini kullanarak komut ve kontrol (C2) amacıyla çalışan yeni bir Windows arka kapısı olan NANOREMOTE hakkında ayrıntılar açıkladı. Bu yazılım, kullanıcıların bilgisayarlarına sızarak verilerini çalmak üzere tasarlanmıştır ve son derece sinsi bir şekilde çalışmaktadır.
NANOREMOTE’un İşlevselliği
Elastic Security Labs tarafından yapılan bir rapora göre, NANOREMOTE, Microsoft Graph API’sini kullanan FINALDRAFT isimli diğer bir zararlı yazılımla benzer kod yapısına sahiptir. Daniel Stepanic, Elastic Security Labs’ın kıdemli güvenlik araştırmacısı, “Bu malware’in temel özelliklerinden biri, kurban bilgisayarı ile verilerin karşılıklı gönderimine odaklanmasıdır” diye belirtti. NANOREMOTE, verilerin sızdırılması ve zararlı yazılımın dağıtımını sağlamak için güçlü bir veri yönetim sistemi içermektedir.
REF7707: Şüpheli Bir Tehdit Kümesi
NANOREMOTE’un arkasındaki tehdit grubunun adı REF7707 olarak bilinir. Bilgiler, bu grubun 2023 yılı itibarıyla Güneydoğu Asya ve Güney Amerika’daki hükümetler, savunma, telekomünikasyon, eğitim ve havacılık sektörlerini hedef aldığını göstermektedir. Palo Alto Networks, bu grubun geçen yıl içerisinde bir Rus IT servis sağlayıcısına yönelik beş aylık bir sızma gerçekleştirdiğini bildirmiştir.
İlk Erişim Yöntemleri
NANOREMOTE için kesin bir başlangıç erişim vektörü bilinmemektedir. Ancak gözlemlenen saldırı zinciri, Bitdefender’ın çökme yönetimi bileşenine benzeyen “BDReinit.exe” adıyla sahte bir yükleyici olan WMLOADER’ı içermektedir. WMLOADER, zararlı yazılımı başlatacak olan shellcode’u şifre çözer.
NANOREMOTE’un Temel Özellikleri
C++ ile yazılmış olan NANOREMOTE, çevresinde keşif yapabilme, dosya ve komutları çalıştırma ile Google Drive’ı kullanarak dosya transfer işlemlerini gerçekleştirme yeteneğine sahiptir. NANOREMOTE, esnekliği sağlamak amacıyla döngüsel bir işleme sistemi içermektedir. Bu sistem, dosya transferlerini sıraya alma, duraklatma ve iptal etme gibi işlevleri barındırmaktadır.
HTTP Üzerinde Güvenli İletişim
NANOREMOTE, saplanmış bir IP adresi üzerinden iletişim kurarak, HTTP istekleri ile verilere erişim sağlamaktadır. Elastic’e göre, bu isteklerde JSON formatında zlib ile sıkıştırılmış ve AES-CBC ile 16 baytlık bir anahtar kullanılarak şifrelenmiş veri gönderilmektedir. Tüm isteklere ilişkin URI’ler /api/client olarak belirlenmiştir.
Komut Yöneticisi ve Potansiyel Tehdit
NANOREMOTE’un ana işlevselliği, 22 komut yöneticisi aracılığıyla sağlanmaktadır. Bu komutlar, ev sahibi bilgilere ulaşmayı, dosya ve dizin işlemleri yapmayı, disk üzerinde var olan taşınabilir uygulamaların çalıştırılmasını, önbelleğin temizlenmesini, Google Drive’a dosya yükleme/indirme işlemlerini gerçekleştirmeyi ve kendini sonlandırmayı içermektedir.
Sonuç ve Gelecek Tehditler
Sonuç olarak, NANOREMOTE, Google Drive API’sini kullanarak verileri sızdırma kapasitesine sahip bir malware olarak karşımıza çıkmaktadır. Gelişmiş işlevselliği ve düşük tespit edilebilirliği ile siber güvenlik dünyasında ciddi bir risk oluşturmaktadır. Bu tip tehditlerin gelecekte nasıl evrileceği ve hangi yeni tekniklerle karşılaşabileceğimiz henüz belirsizdir, ancak siber güvenlik uzmanlarının proaktif önlemler alması kritik öneme sahiptir.
