New Golang-based backdoor relies on Telegram for C2 communication
2025/02/17 SecurityAffairs — C2 に Telegram を悪用する Golang ベースのバックドアを、Netskope Threat Labs が発見した。このマルウェアは、現在も開発中のようだが機能しており、クラウド・アプリの悪用により検出を回避している。この新しい Go バックドアは、ロシア起源である可能性があると、専門家たちは考えている。
このマルウェアが実行されるとバックドアのように動作し、”C:\Windows\Temp\svchost.exe” へと自身を移動し、終了する前に新しいコピーを起動する。
そこに含まれる悪意のコードは、オープンソースの Go パッケージを使用して Telegram に接続し、ボット・インスタンスを作成した後に、更新を取得し、コマンドをリッスンする。
そのライブラリは、Telegram Bot API の Golang バインディングをサポートしている。また、このマルウェアは4種類コマンドをサポートしているが、現実に実装されているのは3つだけである。以下の表は、これらの各コマンドの簡単な説明である。
| Command | Description |
|---|---|
| /cmd | Execute commands via powershell |
| /persist | Relaunch itself under C:\Windows\Temp\svchost.exe |
| /screenshot | Not implemented |
| /selfdestruct | Delete itself |
Netskope が公開したレポートには、「すべてのコマンド出力は、マルウェアの関数 “sendEncrypted” から呼び出される Send package 関数を介して、Telegram チャネルへと送信される。上記のコマンド “/cmd” は、2つのチャット・メッセージを必要とするコマンドである。最初のコマンドは “/cmd” 自身であり、次のコマンドは実行される PowerShell コマンドである」と記されている。
このマルウェアは、Telegram からの PowerShell コマンドを待機し、それを実行する。また、自身の再起動や、偽のスクリーンショット・メッセージの送信に加えて、ファイルの削除/終了による自己破壊にも対応している。
このマルウェアがロシア起源であるとの推定は、”/cmd” コマンドからきている。このコマンドはチャットに対して、ロシア語で “Enter the command:” を送信するという。
このレポートは、「クラウド・アプリの使用は。防御側にとって複雑な課題を提示し、攻撃者もそれを認識している。アプリの設定や利用が、きわめて容易であるという側面も、攻撃の各ステップで、それらのアプリケーションが悪用される理由である」と結論付けている。なお、このレポートには、IoC (indicators of compromise) も含まれている。
Telegram を C2 通信に利用する、Golang 製のバックドアが登場しました。現時点では、まだ開発中とのことですが、IoC (侵害の兆候) が Netskope から提供されています。ご利用のユーザーさんは、十分にご注意下さい。よろしければ、Telegram で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.