Source:https://thehackernews.com/2025/12/nanoremote-malware-uses-google-drive.html
🛡 概要
Elastic Security Labsが、Windows向けの完全機能型バックドア「NANOREMOTE」を公開報告した。特徴はGoogle Drive APIを指令サーバー(C2)として悪用する点で、データ窃取とペイロード配置(ステージング)を正規クラウド上で隠蔽する。コード類似の「FINALDRAFT(Squidoor)」はMicrosoft Graph APIをC2に使うことが知られ、両者は脅威クラスターREF7707(別名 CL-STA-0049、Earth Alux、Jewelbug)との関連が指摘されている。初期侵入は未判明だが、Bitdefenderのクラッシュ処理コンポーネント名「BDReinit.exe」を装うローダ「WMLOADER」がシェルコードを復号し、本体を起動する流れが観測された。
🔍 技術詳細
NANOREMOTEはC++で実装され、ホスト情報収集、ファイル/ディレクトリ操作、既存PEの実行、キャッシュ削除、Google Driveを用いたアップロード/ダウンロード、転送の一時停止・再開・取消、自己終了など、22種のコマンドハンドラを持つ。C2は二系統が確認されており、(1) ハードコードされた到達不能なIP宛てにHTTPでオペレータ要求を処理、(2) Google Drive APIを使用して指令・データ移送を行う。前者はHTTP POSTでJSONを送信し、ボディはzlib圧縮後にAES-CBC(16バイトキー 558bec83ec40535657833d7440001c00)で暗号化される。全リクエストのURIは「/api/client」、User-Agentは「NanoRemote/1.0」が使用される。後者は正規クラウドを介するため、企業のプロキシやDLPを回避しやすく、トラフィックの同定が難しい。ローダ「WMLOADER」はBitdefender名を借用しつつ、暗号化シェルコードを復号・投下する役割を担い、結果としてバックドアをメモリ経由で起動する。ElasticはフィリピンからVirusTotalにアップロードされた「wmsetup.log」(2025-10-03)を同キーでWMLOADERが復号でき、FINALDRAFTが現れることを確認しており、両系統が共通のビルド/開発環境を共有する可能性が高いと示唆している。
コマンド実装は、ファイル転送のキューイング、再開・一時停止、取消、リフレッシュトークン生成といった堅牢なタスク管理を含み、長期潜伏や段階的持ち出しに適する。HTTP層でのJSON、圧縮・暗号化併用、正規クラウドAPIの活用は、シグネチャ検知の回避とセキュリティ装置の誤検知抑制を狙った設計と解釈できる。
⚠ 影響
Google Drive経由のC2とデータ流出は、プロキシやFWの許可リストに乗りやすく、検知を遅延させる。機密文書・図面・認証情報の段階的持ち出しや、横展開前の偵察の秘匿化が現実的となる。対象業種として政府、防衛、通信、教育、航空、ITサービスなどが挙げられており、地政学的な標的型活動での悪用が懸念される。CVSSは脆弱性ではなくマルウェア手口のため適用外。
🛠 対策
– ネットワーク/クラウド制御: Google Drive APIへのアクセスをユーザー/デバイス/プロセス単位で許可制に。CASB/SSPMでOAuth同意とトークンの棚卸し・失効、外部アプリの制限を実施。プロキシでUser-Agent「NanoRemote/1.0」やURI「/api/client」を検知・遮断。
– エンドポイント: アプリケーション許可リストで「BDReinit.exe」など主要ベンダ実行ファイルの正規パス/署名以外の起動をブロック。EDRで不審なローダ/シェルコード実行(メモリ割当・RWX領域・CreateRemoteThread等)を警告。
– 監査/運用: Google Workspace/Driveの監査ログで大量/反復のアップロード・ダウンロード、非ブラウザプロセスからのAPI利用を可視化。初期侵入不明のため、メール、ブラウザ、ソフト配布経路のハードニングを包括的に実施(添付マクロ無効化、ASRルール、Smart App Control等)。
📌 SOC視点
– ネット: 非ルーティングIP宛のHTTP通信、HTTP POSTかつzlib圧縮ボディの兆候、UA「NanoRemote/1.0」、パス「/api/client」をIDS/プロキシで検知。Google Drive API(www.googleapis.com、www.googleapis.com)への大容量POST/GETがブラウザ以外の親プロセスから出る挙動を相関。
– EDR/ログ: Windows 4688/Sysmon 1(不審プロセス作成)、Sysmon 3(外向き接続)、11(ファイル作成)、7(ImageLoad)。Bitdefender関連名の実行ファイルが正規インストールパス外に存在・非署名・異常な親子関係なら高優先度。
– クラウド監査: Drive APIのトークン更新頻度、短時間に連続する転送イベント、深夜帯通信のベースライン乖離。
– ハンティング: ファイル名「wmsetup.log」、Graph/Drive APIを併用するホスト、RWXメモリ割当やShellcode実行のテレメトリ。
📈 MITRE ATT&CK
– T1036 Masquerading(WMLOADERがBDReinit.exeを装う)
– T1027 Obfuscated/Compressed Files and Information(zlib圧縮と暗号化)
– T1573 Encrypted Channel(AES-CBCで通信ペイロードを暗号化)
– T1620 Reflective Code Loading(ローダによるシェルコード起動)
– T1071.001 Application Layer Protocol: Web Protocols(HTTP POSTで/api/clientを使用)
– T1567.002 Exfiltration to Cloud Storage(Google Drive APIへ段階的送信)
– T1105 Ingress Tool Transfer(クラウド経由のペイロード配置)
– T1082 System Information Discovery(ホスト情報収集)
🏢 組織規模別助言
– 小規模(〜50名): Google Driveの業務利用をグループ限定にし、未知クライアントのOAuthを禁止。EDRの管理テンプレートで既知正規パス以外のセキュリティ製品名バイナリ実行をブロック。
– 中規模(50〜500名): CASB導入でAPI利用の可視化とブロックを実施。プロキシでUA/URIマッチの遮断、Drive大容量転送の行動分析ルールを作成。
– 大規模(500名〜): 風評影響を見据え、クラウドDLPとSSPMでデータ分類に基づく自動隔離を実装。SOARで検知→トークン失効→セッション隔離→端末ネット隔離までを自動化。
🔎 類似事例
– FINALDRAFT(別名Squidoor):Microsoft Graph APIをC2に悪用し、NANOREMOTEとコード類似。
– ランサムウェア群のRclone悪用:Google Drive/OneDrive/MEGA等への外部持ち出し(T1567.002)。
– クラウドAPI悪用型C2全般:正規トラフィックに偽装し検知を回避(特定CVEはなし)。
🧭 次の一手
1) Google Drive/APIの現在の許可範囲・OAuthトークンを棚卸しし、不要アプリを失効。2) プロキシ/EDRにUA「NanoRemote/1.0」とパス「/api/client」の検知ルールを直ちに追加。3) WMLOADER/BDReinit.exe名の不審実行履歴をハント。4) Graph/Driveのクラウド監査ログで大容量・連続転送を調査。必要に応じてSOARで隔離を自動化。
