Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новый бэкдор на Golang: угроза через Telegram от хакеров

2
2 мин
Недавние исследования, проведенные лабораторией Netskope Threat Labs, раскрыли существование нового бэкдора, основанного на языке программирования Golang, который, как предполагается, может быть связан с российскими хакерами. Этот опасный инструмент использует Telegram для управления операциями, что свидетельствует о значительном изменении традиционных механизмов командования и управления (C2). Использование облачных приложений, таких как Telegram, предоставляет злоумышленникам возможность обойти сложности настройки выделенной инфраструктуры. Это затрудняет задачи по обнаружению и реагированию со стороны защитников. Основные вызовы включают: После загрузки, вредоносная программа проходит процедуру установки: Такой подход к самостоянтной установке критически важен для поддержания функционирования и эффективности вредоносного ПО. Бэкдор способен обрабатывать команды через Telegram, используя пакет Golang с открытым исходным кодом для создания экземпляра бота. После инициализации бота с т
Оглавление

Недавние исследования, проведенные лабораторией Netskope Threat Labs, раскрыли существование нового бэкдора, основанного на языке программирования Golang, который, как предполагается, может быть связан с российскими хакерами. Этот опасный инструмент использует Telegram для управления операциями, что свидетельствует о значительном изменении традиционных механизмов командования и управления (C2).

Изменение подхода к C2

Использование облачных приложений, таких как Telegram, предоставляет злоумышленникам возможность обойти сложности настройки выделенной инфраструктуры. Это затрудняет задачи по обнаружению и реагированию со стороны защитников. Основные вызовы включают:

  • Способность вредоносного ПО маскировать общение как законное взаимодействие с пользователем.
  • Сложности в различении обычных вызовов API и вредоносного поведения.

Процедура установки и первый запуск

После загрузки, вредоносная программа проходит процедуру установки:

  • Проверяет, запускается ли она из определенного каталога (C:WindowsTempsvchost.exe).
  • Если расположения нет, копирует себя туда и создает новый процесс для запуска скопированной версии.
  • По завершении завершает работу исходного экземпляра.

Такой подход к самостоянтной установке критически важен для поддержания функционирования и эффективности вредоносного ПО.

Команды и функциональность

Бэкдор способен обрабатывать команды через Telegram, используя пакет Golang с открытым исходным кодом для создания экземпляра бота. После инициализации бота с токеном, вредоносное ПО может:

  • Постоянно проверять наличие обновлений (команд) из своего канала Telegram.
  • Использовать четыре команды, три из которых полностью функциональны.

Одной из ключевых команд является /cmd, для выполнения которой требуются два отдельных сообщения: само действие и команда PowerShell.

Другие командные функции включают:

  • /screenshot — намерение сделать снимок экрана.
  • /persist — проверка окружения и переинициализация.
  • /selfdestruct — механизм самоуничтожения, удаляющий исполняемый файл и отправляющий уведомление о его уничтожении.

Заключение

Совершенствование инструментов киберпреступников, таких как этот бэкдор, подчеркивает важность подготовки систем безопасности и активного мониторинга для защиты от потенциальных угроз. Исполнители должны обеспечивать проактивное реагирование и внедрение новых технологий для противодействия эволюции киберугроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новый бэкдор на Golang: угроза через Telegram от хакеров".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Язык программирования Golang
3247 интересуются