Peneliti cybersecurity telah menjelaskan backdoor berbasis Golang baru yang menggunakan Telegram sebagai mekanisme untuk komunikasi perintah-dan-kontrol (C2).
Laboratorium Ancaman Netskope, yang merinci fungsi malware, menggambarkannya sebagai asal Rusia.
“Malware disusun di Golang dan pernah dieksekusi itu bertindak seperti pintu belakang,” kata peneliti keamanan Leandro Fróes dalam sebuah analisis yang diterbitkan minggu lalu. “Meskipun malware tampaknya masih sedang dikembangkan, itu sepenuhnya fungsional.”
Setelah diluncurkan, backdoor dirancang untuk memeriksa apakah berjalan di bawah lokasi tertentu dan menggunakan nama tertentu – “c: \ windows \ temp \ svchost.exe” – dan jika tidak, ia membaca isinya sendiri, menulisnya ke lokasi itu , dan menciptakan proses baru untuk meluncurkan versi yang disalin dan mengakhiri dirinya sendiri.
Aspek penting dari malware adalah menggunakan pustaka open-source yang menawarkan binding golang untuk API bot telegram untuk tujuan C2.
Ini melibatkan berinteraksi dengan API Bot Telegram untuk menerima perintah baru yang berasal dari obrolan yang dikendalikan aktor. Ini mendukung empat perintah yang berbeda, meskipun hanya tiga dari mereka yang saat ini diimplementasikan –
- /CMD – Jalankan perintah melalui PowerShell
- /bertahan – peluncuran dirinya di bawah “C: \ windows \ temp \ svchost.exe”
- /tangkapan layar – tidak diimplementasikan
- /SelfDestruct – Hapus file “C: \ windows \ temp \ svchost.exe” dan mengakhiri dirinya sendiri
Output dari perintah ini dikirim kembali ke saluran telegram. Netskope mengatakan bahwa perintah “/tangkapan layar” mengirim pesan “tangkapan layar yang ditangkap” meskipun tidak sepenuhnya disempurnakan.
Akar malware Rusia dijelaskan oleh fakta bahwa instruksi “/CMD” mengirim pesan “Masukkan perintah:” dalam bahasa Rusia ke obrolan.
“Penggunaan aplikasi cloud menghadirkan tantangan yang kompleks bagi para pembela dan penyerang menyadarinya,” kata Fróes. “Aspek -aspek lain seperti betapa mudahnya mengatur dan memulai penggunaan aplikasi adalah contoh mengapa penyerang menggunakan aplikasi seperti itu dalam berbagai fase serangan.”
