Новое вредоносное ПО на Go использует Telegram для распространения

Компания Netskope выявила новый backdoor, написанный на Go и распространяющий вредоносное ПО. Этот backdoor использует Telegram как инфраструктуру для управления командами (C2).

Исследователи из Netskope обнаружили новый backdoor, созданный с использованием языка программирования Golang (Go), известного своей простотой, поддержкой параллельных вычислений и эффективностью при построении масштабируемых backend-систем, облачных сервисов и сетевых приложений. Этот backdoor способен выполнять команды PowerShell, самодеструктироваться и проверять наличие предопределенных команд для выполнения.

Однако наиболее примечательной особенностью этого backdoor является его инфраструктура C2: он использует специальную функцию для создания экземпляра бота через Telegram API-токен, сгенерированный с помощью Botfather. Затем backdoor применяет отдельную функцию для постоянного мониторинга входящих команд из чата в Telegram. Перед выполнением каких-либо предопределенных действий вредоносное ПО проверяет корректность полученной команды.

Сложности обороны

Использование Telegram или других облачных сервисов как C2 серверов — это не новая практика, но она опасна из-за трудностей для специалистов по безопасности в различении злонамеренного и обычного потока информации. Хотя использование облачных приложений в качестве каналов C2 мы не видим каждый день, этот метод очень эффективен для атакующих, потому что нет необходимости создавать целую инфраструктуру, что упрощает задачу злоумышленникам. Но с точки зрения защиты это крайне сложно: трудно отличить обычного пользователя API от C2-коммуникации, — отметили в Netskope.

Вредоносные акторы часто используют другие облачные приложения, такие как OneDrive, GitHub и Dropbox, что усложняет задачу защитников. Хотя компания Netskope не указала точное количество потенциальных жертв, она подчеркнула, что вредоносное ПО вероятно имеет российское происхождение.