Ερευνητές κυβερνοασφάλειας έχουν εντοπίσει ένα νέο κακόβουλο λογισμικό, γραμμένο στη γλώσσα προγραμματισμού Golang, το οποίο αξιοποιεί το Telegram Bot API για επικοινωνίες εντολών και ελέγχου (C2). Αυτό το backdoor, που πιθανώς προέρχεται από τη Ρωσία, επιδεικνύει εξελιγμένες τεχνικές απόκρυψης, καθιστώντας την ανίχνευσή του ιδιαίτερα δύσκολη.
Σύμφωνα με το Netskope Threat Labs, το κακόβουλο λογισμικό, αν και βρίσκεται ακόμα σε στάδιο ανάπτυξης, είναι πλήρως λειτουργικό. Μόλις εκτελεστεί, ελέγχει αν λειτουργεί από την τοποθεσία “C:\Windows\Temp\svchost.exe”. Αν όχι, αντιγράφει τον εαυτό του σε αυτήν την τοποθεσία, ξεκινά νέα διεργασία και τερματίζει την αρχική, διασφαλίζοντας την παραμονή του στο σύστημα.
Ένα αξιοσημείωτο χαρακτηριστικό του είναι η χρήση μιας βιβλιοθήκης ανοικτού κώδικα που επιτρέπει την επικοινωνία με το Telegram Bot API. Μέσω αυτής, το backdoor λαμβάνει εντολές από ένα chat που ελέγχεται από τον επιτιθέμενο. Υποστηρίζει εντολές όπως η εκτέλεση PowerShell εντολών (/cmd), η επανεκκίνηση του εαυτού του (/persist) και η αυτοκαταστροφή (/selfdestruct). Αξιοσημείωτο είναι ότι η εντολή /screenshot, αν και δεν έχει υλοποιηθεί πλήρως, επιστρέφει το μήνυμα “Screenshot captured”.
Η πιθανή ρωσική προέλευση του κακόβουλου λογισμικού υποδηλώνεται από το γεγονός ότι η εντολή /cmd στέλνει το μήνυμα “Введите команду:” (Εισάγετε την εντολή:) στα ρωσικά.
Η χρήση εφαρμογών cloud, όπως το Telegram, για επικοινωνίες C2 δεν είναι νέα πρακτική. Οι επιτιθέμενοι συχνά επιλέγουν τέτοιες πλατφόρμες λόγω της ευκολίας χρήσης και της δυσκολίας ανίχνευσης από τα παραδοσιακά συστήματα ασφαλείας. Αυτό το περιστατικό υπογραμμίζει την ανάγκη για ενισχυμένα μέτρα ασφαλείας και συνεχή παρακολούθηση των δικτύων για την ανίχνευση ανωμαλιών.
Πηγή: thehackernews.com
