Telegram中文网消息:恶意软件利用 Telegram 黑客攻击进行 C2 操作
Golang 后门操作的隐秘 C2 消息很容易被误认为是合法的 Telegram API 通信。
有人发现黑客部署了一款用 Golang 编写的未完成的俄罗斯恶意软件,该恶意软件利用 Telegram 作为其命令和控制 (C2) 通道。
网络安全公司 Netskope 的研究部门 Netskope 威胁实验室发现了该恶意软件。Netskope 研究人员在一篇博文中表示:“在 Netskope 威胁实验室的搜寻活动中,我们发现了其他研究人员分享的 IoC,因此决定对其进行仔细研究。”
研究人员补充说,该恶意软件(Trojan.Generic.37477095)目前似乎正在开发中,但功能齐全,在执行时就像一个后门。
滥用 Telegram API 进行 C2 通信
据研究人员称,该恶意软件建立的 C2 通信很容易被误认为是合法的 Telegram API部署,因此很难被检测到。
10分9秒中的0秒音量0%
研究人员指出:“尽管我们每天都不会看到使用云应用程序作为 C2 通道的情况,但它却是攻击者使用的一种非常有效的方法,不仅因为无需为其实施整个基础设施,从而使攻击者的生活更加轻松,而且因为从防御者的角度来看,很难区分什么是使用 API 的普通用户,什么是 C2 通信。”
博客文章补充道,该后门使用 Telegram 作为其 C2 机制,通过使用开源 Go 包与其交互。它最初使用 Telegram 的 BotFather 功能创建一个机器人实例,该功能可以创建、管理和配置 Telegram 机器人。
然后,恶意程序调用 tgbotapi 库中的 GetUpdatesChan() 函数(Telegram Bot API 的 Golang 包装器),该函数允许程序创建 Telegram 频道并在那里接收 C2 命令。
代码执行和持久性的命令
研究人员表示,该后门目前总共接受四个 C2 命令,通过发送包功能发送到 Telegram 频道,其中一个尚未实现。
最关键的是用于执行 PowerShell 代码的“/cmd”命令,该命令可允许未经授权访问系统资源。此命令在 Telegram 频道内作为两个单独的聊天消息接收,一个是“/cmd”命令本身,另一个是要执行的 PowerShell 命令。
使用“/persist”命令,恶意软件首先检查它是否正在本地系统的特定位置运行,如果尚未运行,则重新启动并退出。还实施了“selfdestruct”命令,以从所述位置清除恶意软件并终止自身。
研究人员表示,恶意软件中已配置了“/screenshot”命令,但尚未完全实现。Netskope 团队已在专用的GitHub 存储库中分享了与该恶意软件相关的 IOC 和脚本。过去,威胁行为者还滥用一些其他合法应用程序,如OneDrive、Github、DropBox、Discord、TOR等,以建立更快且难以检测的 C2 通道。
