Netskope发现一种新型后门恶意软件,利用Telegram作为C2通信渠道。该恶意软件基于GoLang开发,通过开源包与Telegram交互,创建机器人和频道接收指令。支持执行PowerShell命令、持久化运行、截图(未实现)及自我销毁功能。由于使用俄语提示,推测可能源自俄罗斯。研究人员强调此类攻击虽简单但高效,需引起重视。 2025-2-17 14:0:52 Author: www.securityinfo.it(查看原文) 阅读量:5 收藏
Feb 17, 2025 In evidenza, Malware, Minacce, News
La scorsa settimana Netskope ha individuato una nuova backdoor che sfrutta Telegram come canale di comunicazione C2.
“Anche se l’uso di app cloud come canali C2 non è qualcosa che vediamo tutti i giorni, è un metodo molto efficace utilizzato dai cybercriminali non solo perché non è necessario implementare un’intera infrastruttura, rendendo la vita degli attaccanti più facile, ma anche perché è molto difficile, dal punto di vista di chi si occupa di sicurezza, differenziare un normale utente che utilizza un’API e una comunicazione C2” ha spiegato Leandro Fróes, ricercatore senior di Netskope.
Scritta in GoLang, la backdoor sfrutta un package Go open-source per interagire con Telegram, facendone il proprio meccanismo C2. Il package inizialmente crea un bot usando la feature BotFather dell’app di messaggistica; in seguito, crea un canale dove controlla la ricezione di nuovi comandi per eseguirli.
Secondo quanto riportato da Fróes, il malware supporta quattro diversi comandi: /cmd, per eseguire comandi tramite Powershell; /persist, per rieseguire se stessa sotto C:\Windows\Temp\svchost.exe; /screenshot, attualmente non implementato; /selfdestruct per autodistruggersi.
Il comando /cmd è l’unico che richiede due messaggi per essere eseguito dalla backdoor: il primo contenente il comando stesso, il secondo il comando Powershell da eseguire. Dopo aver ricevuto il primo comando, il malware risponde con “Inserisci il comando:” in russo e si mette in attesa di ricevere istruzioni.
Vista la lingua usata per la comunicazione, è molto probabile che la backdoor sia di origine russa, anche se non ci sono ancora indicazioni sull’identità degli attaccanti.
Fróes ha sottolineato che, vista la semplicità con cui viene eseguito, la minaccia analizzata non va presa sottogamba. “L’uso di applicazioni cloud rappresenta una sfida complessa per gli esperti di sicurezza e gli attaccanti ne sono consapevoli“ ha ribadito. La presenza di un comando non ancora implementato indica che la backdoor è ancora in fase di sviluppo, ma è comunque funzionante. Al momento non si hanno informazioni su se e contro chi sia stato usato il malware.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh