- Автор темы
- #1
Исследователи обнаружили новую вредоносную программу-бэкдор, написанную на языке программирования Go, которая использует Telegram в качестве канала управления и контроля (C2).
Хотя вредоносное ПО, по-видимому, всё ещё находится в разработке, оно уже полностью функционально и способно выполнять различные вредоносные действия.
Такое инновационное использование облачных приложений, таких как Telegram, для связи C2 создаёт серьёзные проблемы для специалистов по кибербезопасности.
- Был обнаружен недавно обнаруженный бэкдор на базе Go, предположительно российского происхождения.
- Вредоносная программа использует Telegram в качестве своего основного канала связи C2.
- Несмотря на то, что вредоносная программа находится в стадии разработки, она работает и включает в себя несколько реализованных команд.
Технический анализ
Вредоносная программа скомпилирована на Golang и после запуска функционирует как бэкдор. При запуске она выполняет первоначальную самоустановку, проверяя, запущена ли она по определённому пути к файлу: C:\Windows\Temp\svchost.exe.
Если нет, то он копирует себя в это место, перезапускает новый экземпляр и завершает исходный процесс. Этот этап самостоятельной установки выполняется с помощью функции инициализации перед вызовом основной функции вредоносного ПО.
Взаимодействие с Telegram
Вредоносная программа использует пакет Go с открытым исходным кодом для взаимодействия с Telegram. Она использует функцию NewBotAPIWithClient для создания экземпляра бота с помощью токена, сгенерированного с помощью функции BotFather в Telegram.Проанализированный образец содержал токен 8069094157:AAEyzkW_3R3C-tshfLwgdTYHEluwBxQnBuk. С помощью функции GetUpdatesChan вредоносная программа постоянно отслеживает канал на предмет входящих команд от своих операторов.
В настоящее время бэкдор поддерживает четыре команды, три из которых полностью реализованы:
- /cmd: выполняет команды PowerShell, полученные через Telegram.
- /persist: перезапускается в указанном каталоге (C:\Windows\Temp\svchost.exe).
- /скриншот: функция еще не полностью реализована, но отправляет сообщение-заполнитель, указывающее на то, что скриншот был сделан.
- /selfdestruct: удаляет себя и завершает свой процесс.
Выходные данные команд отправляются обратно в канал Telegram с помощью зашифрованной функции отправки. Например, при выполнении /cmd вредоносная программа предлагает злоумышленнику (на русском языке) ввести команду PowerShell, которую она затем выполняет в скрытом режиме.
Использование облачных приложений, таких как Telegram, в качестве каналов связи усложняет процесс обнаружения. Эти платформы предоставляют злоумышленникам простую в использовании инфраструктуру, маскируя вредоносную активность под законное использование API.
Другие облачные приложения, такие как OneDrive, GitHub и Dropbox, также могут быть использованы таким образом, что защитникам становится всё сложнее различать безопасный и вредоносный трафик.
Netskope Advanced Threat Protection заблаговременно обнаруживает эту угрозу под идентификатором «Trojan.Generic.37477095». Компания подчеркнула важность отслеживания таких развивающихся угроз и соответствующей адаптации защиты.
Эта вредоносная программа на базе Go показывает, как злоумышленники используют облачные приложения для обхода традиционных механизмов обнаружения. Используя такие платформы, как Telegram, для связи с командным центром, злоумышленники упрощают свои действия и усложняют защитные меры.
Лаборатория Netskope Threat Labs сообщила, что продолжит отслеживать развитие этого бэкдора и связанных с ним тактик, методов и процедур (TTP).