Araştırmacılar, Telegram’ı komut ve kontrol (C2) kanalı olarak kullanan Go programlama dilinde yazılmış yeni bir arka kapı kötü amaçlı yazılım belirlediler.
Kötü amaçlı yazılım hala geliştirilmekte gibi görünse de, zaten tamamen işlevseldir ve çeşitli kötü amaçlı faaliyetler yürütebilir.
C2 Communication için Telegram gibi bulut tabanlı uygulamaların bu yenilikçi kullanımı, siber güvenlik savunucuları için önemli zorluklar oluşturmaktadır.
- Potansiyel olarak Rus kökenli yeni keşfedilen GO tabanlı bir arka kapı tanımlandı.
- Kötü amaçlı yazılım Telegram’ı birincil C2 iletişim kanalı olarak kullanır.
- Geliştirme altında olmasına rağmen, kötü amaçlı yazılımlar faaliyete geçer ve uygulanan birkaç komut içerir.
Teknik analiz
Kötü amaçlı yazılım Golang’da derlenir ve yürütüldüğünde arka kapı görevi görür. Başlatıldıktan sonra, belirli bir dosya yolundan çalışıp çalışmadığını kontrol ederek ilk kendi kendine yükleme işlemi gerçekleştirir: C:\Windows\Temp\svchost.exe.
Değilse, kendini bu konuma kopyalar, yeni örneği yeniden başlatır ve orijinal süreci sona erdirir. Bu kendi kendine yükleme adımı, kötü amaçlı yazılımın ana işlevi çağrılmadan önce bir başlatma işleviyle yürütülür.
Telegram ile etkileşim
Kötü amaçlı yazılım, telgrafla etkileşim kurmak için açık kaynaklı bir Go paketi kullanır. Kullanır NewBotAPIWithClient Telegram’ın Botfather özelliği ile oluşturulan bir jeton kullanarak bir bot örneği oluşturmak için işlev.
Analiz edilen örnek, jetonu içeriyordu 8069094157:AAEyzkW_3R3C-tshfLwgdTYHEluwBxQnBuk. Sayesinde GetUpdatesChan işlev, kötü amaçlı yazılım, operatörlerinden gelen komutlar için sürekli olarak bir kanalı izler.
Arka kapı şu anda üçü tamamen uygulanan dört komutu desteklemektedir:
- /cmd: Telegram aracılığıyla alınan PowerShell komutlarını yürütür.
- /devam etmek: Belirtilen dizinde kendini yeniden başlatır (
C:\Windows\Temp\svchost.exe). - /ekran görüntüsü: Henüz tam olarak uygulanmadı, ancak bir ekran görüntüsünün yakalandığını gösteren bir yer tutucu mesajı gönderiyor.
- /Kendini ele geçirme: Kendini siler ve sürecini sonlandırır.
Komut çıkışları, şifreli bir gönderme işlevi kullanılarak telgraf kanalına geri gönderilir. Örneğin, yürütürken /cmdkötü amaçlı yazılım saldırganı (Rusça) bir PowerShell komutuna girmeye teşvik eder ve daha sonra gizli modda yürütür.
C2 kanalları olarak telgraf gibi bulut tabanlı uygulamaların kullanılması tespit çabalarını zorlaştırır. Bu platformlar saldırganlara, kötü niyetli etkinliği meşru API kullanımı ile harmanlarken kullanımı kolay bir altyapı sağlar.
OneDrive, GitHub ve Dropbox gibi diğer bulut uygulamaları benzer şekilde bu şekilde yararlanabilir, bu da savunucuların iyi huylu ve kötü niyetli trafik arasında ayrım yapmasını giderek zorlaştırır.
Netskope Advanced Tehdit Koruması, “Trojan.Generic.37477095” tanımlayıcısı altında bu tehdidi proaktif olarak tespit eder. Şirket, bu tür gelişen tehditleri izlemenin ve savunmaları buna göre uyarlamanın önemini vurguladı.
Bu GO tabanlı kötü amaçlı yazılım, saldırganların geleneksel algılama mekanizmalarını atlamak için bulut uygulamalarını nasıl kullandıklarını vurgular. C2 iletişimi için Telegram gibi platformlardan yararlanarak, saldırganlar savunma önlemlerini karmaşıklaştırırken operasyonlarını basitleştiriyor.
Netskope Tehdit Laboratuarları, bu arka kapının gelişimini ve ilişkili taktikleri, tekniklerini ve prosedürlerini (TTP’ler) izlemeye devam edeceklerini bildirdi.
Ek teknik detaylar ve uzlaşma göstergeleri (IOCS) için Netskope, GitHub depolarında alakalı verileri kullanılabilir hale getirmiştir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin