Новый бэкдор на Golang: угроза через Telegram от хакеров

Недавние исследования, проведенные лабораторией Netskope Threat Labs, раскрыли существование нового бэкдора, основанного на языке программирования Golang, который, как предполагается, может быть связан с российскими хакерами. Этот опасный инструмент использует Telegram для управления операциями, что свидетельствует о значительном изменении традиционных механизмов командования и управления (C2).
Изменение подхода к C2
Использование облачных приложений, таких как Telegram, предоставляет злоумышленникам возможность обойти сложности настройки выделенной инфраструктуры. Это затрудняет задачи по обнаружению и реагированию со стороны защитников. Основные вызовы включают:
- Способность вредоносного ПО маскировать общение как законное взаимодействие с пользователем.
- Сложности в различении обычных вызовов API и вредоносного поведения.
Процедура установки и первый запуск
После загрузки, вредоносная программа проходит процедуру установки:
- Проверяет, запускается ли она из определенного каталога (C:WindowsTempsvchost.exe).
- Если расположения нет, копирует себя туда и создает новый процесс для запуска скопированной версии.
- По завершении завершает работу исходного экземпляра.
Такой подход к самостоянтной установке критически важен для поддержания функционирования и эффективности вредоносного ПО.
Команды и функциональность
Бэкдор способен обрабатывать команды через Telegram, используя пакет Golang с открытым исходным кодом для создания экземпляра бота. После инициализации бота с токеном, вредоносное ПО может:
- Постоянно проверять наличие обновлений (команд) из своего канала Telegram.
- Использовать четыре команды, три из которых полностью функциональны.
Одной из ключевых команд является /cmd, для выполнения которой требуются два отдельных сообщения: само действие и команда PowerShell.
Другие командные функции включают:
/screenshot— намерение сделать снимок экрана./persist— проверка окружения и переинициализация./selfdestruct— механизм самоуничтожения, удаляющий исполняемый файл и отправляющий уведомление о его уничтожении.
Заключение
Совершенствование инструментов киберпреступников, таких как этот бэкдор, подчеркивает важность подготовки систем безопасности и активного мониторинга для защиты от потенциальных угроз. Исполнители должны обеспечивать проактивное реагирование и внедрение новых технологий для противодействия эволюции киберугроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



