新的基于 Golang 的后门依赖 Telegram 进行 C2 通信

Netskope Threat Labs 发现了一个基于 Golang 的后门，该后门使用 Telegram 进行 C2。该恶意软件仍在开发中，但可以运行，它利用云应用程序来逃避检测。专家们认为，新的 Go 后门可能源自俄罗斯。

在执行恶意软件时，它就像一个后门，如果尚未到达那里，它会将自身重新定位到“C:WindowsTempsvchost.exe”，然后在终止之前启动一个新的副本。

恶意代码使用开源 Go 包连接到 Telegram ，并创建机器人实例、检索更新并监听命令。

该库支持 Telegram Bot API 的 Golang 绑定。

该恶意软件支持四种不同的命令，但实际上只实现了三种。下表对每条命令进行了简要说明。

所有命令输出都通过“sendEncrypted”恶意软件函数中调用的发送包函数发送到Telegram频道。” Netskope 发布的报告写道。

命令“/cmd”是唯一需要 2 条聊天消息的命令，第一条是命令本身，第二条是要执行的 PowerShell 命令。

该恶意软件等待 Telegram 发出的 PowerShell 命令并执行该命令。它还可以重新启动自身、发送虚假的截图消息，并通过删除文件并终止来自毁。

将其归为俄罗斯起源是基于“/cmd”指令，该指令以俄语向聊天室发送“输入命令：”

使用云应用程序对防御者来说是一个复杂的挑战，攻击者也意识到了这一点。其他方面，例如设置和开始使用应用程序的难易程度，都是攻击者在攻击的不同阶段使用此类应用程序的例子。

技术报告：

https://www.netskope.com/blog/telegram-abused-as-c2-channel-for-new-golang-backdoor

新闻链接：

https://securityaffairs.com/174306/malware/golang-based-backdoor-uses-telegram-for-c2.html

讲述普通人能听懂的安全故事