基于 Golang 的新后门使用 Telegram Bot API 进行规避 C2 操作

网络安全研究人员揭示了一种基于 Golang 的新后门，该后门使用 Telegram 作为命令和控制 (C2) 通信机制。

Netskope 威胁实验室详细介绍了该恶意软件的功能，并称其可能来自俄罗斯。

安全研究员 Leandro Fróes 在上周发表的分析报告中表示： “该恶意软件使用 Golang 语言编译而成，一旦执行，就会像后门一样运行。虽然该恶意软件似乎仍在开发中，但它完全可以正常运行。”

一旦启动，后门就会检查它是否在特定位置运行并使用特定名称“C:\Windows\Temp\svchost.exe” - 如果没有，它会读取自己的内容，将其写入该位置，并创建一个新进程来启动复制的版本并终止自身。

该恶意软件的一个值得注意的方面是，它使用一个开源库，该库为 Telegram Bot API 提供 Golang 绑定以用于 C2 目的。

这涉及与 Telegram Bot API 交互以接收来自参与者控制的聊天的新命令。它支持四种不同的命令，尽管目前只实现了其中三种 -

/cmd——通过 PowerShell 执行命令
/persist – 在“C:\Windows\Temp\svchost.exe”下重新启动
/screenshot-未实现
/selfdestruct - 删除“C:\Windows\Temp\svchost.exe”文件并终止自身

这些命令的输出被发送回 Telegram 频道。Netskope 表示，“/screenshot”命令发送了“屏幕截图已捕获”消息，尽管该消息尚未完全实现。

该恶意软件的俄罗斯根源是通过“/cmd”指令向聊天室发送俄语消息“输入命令：”来解释的。

“使用云应用程序对防御者来说是一个复杂的挑战，攻击者也意识到了这一点，”Fróes 说。“其他方面，例如设置和开始使用应用程序的难易程度，都是攻击者在攻击的不同阶段使用此类应用程序的例子。”