محققان امنیتی اخیراً کشف کردهاند که مهاجمان سایبری از یک درب پشتی جدید مبتنی بر Golang استفاده میکنند که از تلگرام بهعنوان مکانیزم فرمان و کنترل (C2) بهره میبرد. این حمله در حال حاضر به یک مهاجم روسی نسبت داده شده است.
در این حمله، پس از اجرای بدافزار، ابتدا بررسی میشود که آیا در مسیر "C:\Windows\Temp\svchost.exe" در حال اجرا است یا نه. اگر این فایل در مکان مشخصشده نباشد، بدافزار محتوای خود را بازخوانی کرده، آن را در این مسیر ذخیره میکند و یک فرآیند جدید ایجاد میکند تا نسخه کپیشده را اجرا کند و سپس عملیات اولیه خود را متوقف میکند.
یکی از ویژگیهای قابل توجه این بدافزار استفاده از یک کتابخانه متنباز است که اتصالات Golang به API ربات تلگرام را برای اجرای فرمان و کنترل (C2) فراهم میکند.
این بدافزار از API ربات تلگرام برای دریافت دستورات جدید از یک چت تحت کنترل مهاجم استفاده میکند. این بدافزار از چهار دستور مختلف پشتیبانی میکند، اما در حال حاضر تنها سه مورد از آنها پیادهسازی شدهاند:
- /cmd - Execute commands via PowerShell
- /persist - Relaunch itself under "C:\Windows\Temp\svchost.exe"
- /screenshot - Not implemented
- /selfdestruct - Delete the "C:\Windows\Temp\svchost.exe" file and terminate itself
- Cybersecurity
استفاده از اپلیکیشنهای ابری چالشهای پیچیدهای ایجاد میکند و مهاجمان از این موضوع آگاه هستند. عواملی مانند سهولت راهاندازی و دسترسی سریع به این اپلیکیشنها، از جمله دلایلی هستند که مهاجمان در مراحل مختلف حملات خود از آنها بهره میبرند.
توضیحات بیشتر:
- New Golang-Based Backdoor Uses Telegram Bot API for Evasive C2 Operations