Перейти к содержимому

Обнаружено новое вредоносное ПО на языке Go, управляемое через Telegram

Исследователи в области кибербезопасности выявили новое вредоносное программное обеспечение (backdoor), написанное на языке программирования Go. Это вредоносное ПО использует мессенджер Telegram в качестве канала управления и контроля (C2). Хотя программа еще находится в стадии разработки, она уже полностью функциональна и способна выполнять различные вредоносные действия.

✅ Написано на языке программирования Go и управляется через Telegram;
✅ Предположительно имеет российское происхождение;
✅ Несмотря на то, что программа еще не завершена, основные команды уже работают;
✅ Этот метод усложняет выявление кибератак и противодействие им.

Вредоносное ПО, написанное на языке Golang (Go), выполняет функции backdoor после запуска. Основные принципы его работы следующие:

🔹 Самостоятельная установка в систему: при запуске программа проверяет, работает ли она из каталога C:\Windows\Temp\svchost.exe. Если нет, она копирует себя в этот каталог.
🔹 Завершение основного процесса: запускает свою новую копию и завершает работу оригинального процесса.
🔹 Взаимодействие с Telegram: использует библиотеку с открытым исходным кодом для подключения к Telegram. Для создания бота применяется токен, полученный через Telegram BotFather.
🔹 Прием команд: с помощью функции GetUpdatesChan программа постоянно отслеживает команды, поступающие через Telegram-канал.

На данный момент вредоносное ПО поддерживает четыре команды, три из которых полностью реализованы:

🔹 /cmd – выполняет команды PowerShell, отправленные через Telegram.
🔹 /persist – перезапускает себя в каталоге C:\Windows\Temp\svchost.exe.
🔹 /screenshot – пока не реализована полностью, но отправляет сообщение о якобы сделанном скриншоте.
🔹 /selfdestruct – удаляет себя и завершает процесс.

Результаты выполнения команд передаются обратно в Telegram-канал в зашифрованном виде. Например, при выполнении /cmd злоумышленник отправляет команду PowerShell, которая выполняется в скрытом режиме.

Выявление вредоносных программ, использующих такие онлайн-сервисы, как Telegram, OneDrive, GitHub, Dropbox, становится все сложнее. Эти платформы предоставляют киберпреступникам удобную инфраструктуру, а вредоносный трафик маскируется под легитимную сетевую активность.

Система Netskope Advanced Threat Protection классифицировала эту угрозу как Trojan.Generic.37477095. Специалисты рекомендуют постоянно отслеживать подобные угрозы и своевременно адаптировать защитные механизмы.

🔹 Обновляйте программное обеспечение и системы – устаревшие программы и операционные системы более уязвимы для атак.
🔹 Используйте антивирусные и защитные средства – Netskope и другие компании по кибербезопасности могут выявлять подобные угрозы.
🔹 Мониторинг сетевого трафика – проверяйте подозрительные подключения к сервисам, таким как Telegram.
🔹 Ограничение административных прав – ограничение доступа для ненужных пользователей снижает риск работы вредоносных программ.
🔹 Обучение сотрудников – повышение осведомленности персонала о кибербезопасности поможет своевременно обнаруживать подозрительную активность.

✅ Вредоносное ПО на языке Go, использующее Telegram для управления, представляет серьезную угрозу, так как способно обходить традиционные механизмы защиты, используя онлайн-сервисы.

✅ Организациям необходимо постоянно обновлять системы безопасности, информировать сотрудников и следить за подозрительной сетевой активностью.

Netskope Threat Labs продолжает мониторинг этой угрозы и публикует обновленные данные в своем открытом репозитории на GitHub.

🛡 Не пренебрегайте кибербезопасностью! Подготовьтесь к новым угрозам заранее!