Siber güvenlik araştırmacıları, Telegram’ı komut ve kontrol (C2) iletişimi için bir mekanizma olarak kullanan yeni bir Golang tabanlı arka kapıya ışık tuttu.
Kötü amaçlı yazılımların işlevlerini detaylandıran Netskope tehdit laboratuvarları, bunu muhtemelen Rus kökenli olarak tanımladı.
Güvenlik araştırmacısı Leandro Fróes, geçen hafta yayınlanan bir analizde, “Kötü amaçlı yazılım Golang’da derleniyor ve bir kez yürütüldüğünde bir arka kapı gibi davranıyor.” Dedi. “Kötü amaçlı yazılım hala geliştiriliyor gibi görünse de tamamen işlevsel.”
Başlatıldıktan sonra, arka kapı belirli bir konumun altında çalışıp çalışmadığını kontrol etmek için tasarlanmıştır ve belirli bir ad kullanarak – “C: \ windows \ temp \ svchost.exe” – ve eğer değilse, kendi içeriğini okur, bunları bu konuma yazar ve kopyalanan versiyonu başlatmak ve kendini sonlandırmak için yeni bir süreç oluşturur.
Kötü amaçlı yazılımın dikkate değer bir yönü, C2 amaçları için telgraf bot API için Golang Bağlamaları sunan açık kaynaklı bir kütüphane kullanmasıdır.
Bu, aktör kontrollü bir sohbetten kaynaklanan yeni komutlar almak için Telegram Bot API ile etkileşim kurmayı içerir. Dört farklı komutu destekliyor, ancak bunlardan sadece üçü uygulandı –
- /cmd – PowerShell üzerinden komutları yürüt
- /Persist – “C: \ Windows \ Temp \ svchost.exe” altında kendini yeniden başlatın
- /ekran görüntüsü – uygulanmadı
- /SelfDestrus – “C: \ Windows \ Temp \ svchost.exe” dosyasını silin ve sonlandırın
Bu komutların çıktısı Telegram kanalına geri gönderilir. Netskope, “/ekran görüntüsünün” komutunun, tamamen etli olmamasına rağmen “ekran görüntüsü yakalanan” mesajını gönderdiğini söyledi.
Kötü amaçlı yazılımların Rus kökleri, “/cmd” talimatının Rusça’ya sohbete “Komutu gir” mesajını göndermesi gerçeğiyle açıklanmaktadır.
Fróes, “Bulut uygulamalarının kullanımı, savunuculara ve saldırganların farkında oldukları için karmaşık bir zorluk sunuyor.” Dedi. “Uygulamanın kullanımını ayarlamanın ve başlamanın ne kadar kolay olduğu gibi diğer hususlar, saldırganların neden böyle uygulamaları bir saldırının farklı aşamalarında kullandığına dair örneklerdir.”