Netskope 的网络安全研究人员发现了一种新型的、具备一定功能但可能仍处于开发阶段的基于 Golang 语言编写的后门程序,该程序利用 Telegram 进行指令与控制(C2)活动。这种恶意软件(Trojan.Generic.37477095)疑似源自俄罗斯,它借助 Telegram 这类云服务达成恶意目的。对攻击者而言,这些云服务使用便捷,而研究人员却难以对其进行有效监控。利用这种方式进行 C2 通信,攻击者无需搭建专门的基础设施,OneDrive、GitHub 和 Dropbox 等其他云平台同样存在被此类恶意利用的风险。
该恶意软件由 Go 语言编译,在执行时会启动 “installSelf” 函数。这个函数会检查自身是否在指定位置 “C:\Windows\Temp\svchost.exe” 运行。若不在,恶意软件会将自身复制到该位置,创建新进程来启动副本,随后终止原始进程。通过在初始化函数中执行这一过程,确保恶意软件从预设位置运行。研究人员使用 Detect It Easy 工具检测发现,该恶意软件在执行过程中呈现出典型的后门特征。
在 C2 通信方面,该后门程序借助一个开源的 Go 语言包与 Telegram 进行交互。它利用 Telegram BotFather 功能和特定令牌
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
