Новый бэкдор на Golang: угроза через Telegram от хакеров

Новый бэкдор на Golang: угроза через Telegram от хакеров

Недавние исследования, проведенные лабораторией Netskope Threat Labs, раскрыли существование нового бэкдора, основанного на языке программирования Golang, который, как предполагается, может быть связан с российскими хакерами. Этот опасный инструмент использует Telegram для управления операциями, что свидетельствует о значительном изменении традиционных механизмов командования и управления (C2).

Изменение подхода к C2

Использование облачных приложений, таких как Telegram, предоставляет злоумышленникам возможность обойти сложности настройки выделенной инфраструктуры. Это затрудняет задачи по обнаружению и реагированию со стороны защитников. Основные вызовы включают:

  • Способность вредоносного ПО маскировать общение как законное взаимодействие с пользователем.
  • Сложности в различении обычных вызовов API и вредоносного поведения.

Процедура установки и первый запуск

После загрузки, вредоносная программа проходит процедуру установки:

  • Проверяет, запускается ли она из определенного каталога (C:WindowsTempsvchost.exe).
  • Если расположения нет, копирует себя туда и создает новый процесс для запуска скопированной версии.
  • По завершении завершает работу исходного экземпляра.

Такой подход к самостоянтной установке критически важен для поддержания функционирования и эффективности вредоносного ПО.

Команды и функциональность

Бэкдор способен обрабатывать команды через Telegram, используя пакет Golang с открытым исходным кодом для создания экземпляра бота. После инициализации бота с токеном, вредоносное ПО может:

  • Постоянно проверять наличие обновлений (команд) из своего канала Telegram.
  • Использовать четыре команды, три из которых полностью функциональны.

Одной из ключевых команд является /cmd, для выполнения которой требуются два отдельных сообщения: само действие и команда PowerShell.

Другие командные функции включают:

  • /screenshot — намерение сделать снимок экрана.
  • /persist — проверка окружения и переинициализация.
  • /selfdestruct — механизм самоуничтожения, удаляющий исполняемый файл и отправляющий уведомление о его уничтожении.

Заключение

Совершенствование инструментов киберпреступников, таких как этот бэкдор, подчеркивает важность подготовки систем безопасности и активного мониторинга для защиты от потенциальных угроз. Исполнители должны обеспечивать проактивное реагирование и внедрение новых технологий для противодействия эволюции киберугроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: