Telegram orqali boshqariluvchi yangi Go dasturlash tilida yozilgan zararli dastur aniqlandi
Kiberxavfsizlik tadqiqotchilari Go dasturlash tilida yozilgan yangi zararli dastur (backdoor)ni aniqlashdi. Ushbu zararli dastur Telegram messenjeridan boshqaruv va nazorat (C2) kanali sifatida foydalanadi. Hozircha dastur ishlab chiqish jarayonida bo‘lsada, u allaqachon to‘liq ishlash qobiliyatiga ega va turli zararli harakatlarni bajara oladi.
✅ Go dasturlash tilida yozilgan va Telegram orqali boshqariladi;
✅ Rossiya bilan bog‘liq bo‘lishi mumkin bo‘lgan kelib chiqish taxmin qilinmoqda;
✅ Dastur hali to‘liq yakunlanmagan bo‘lsa-da, asosiy buyrug‘lar bajarilishi mumkin;
✅ Ushbu texnologiya kiberhujumlarni aniqlash va oldini olishni murakkablashtiradi.
Zararli dastur Golang (Go) tilida yozilgan bo‘lib, ishga tushirilgandan so‘ng orqa eshik (backdoor) sifatida ishlaydi. Uning asosiy ishlash tamoyili quyidagicha:
- O‘zini tizimga o‘rnatadi: dastur ishga tushirilishi bilan avvaliga tekshiradi, agar u C:\Windows\Temp\svchost.exe manzilidan ishlayotgan bo‘lmasa, o‘z nusxasini shu katalogga nusxalab oladi.
- Asosiy jarayonni tugatadi: keyin dastur yangi nusxasini ishga tushiradi va eski jarayonni o‘chiradi.
- Telegram bilan muloqot qiladi: zararli dastur ochiq kodli Go kutubxonasi yordamida Telegram bilan bog‘lanadi. Botni yaratish uchun Telegram BotFather xizmati orqali olingan token ishlatiladi.
- Buyruqlarni qabul qiladi: GetUpdatesChan funksiyasi yordamida Telegram kanalidan doimiy ravishda buyruqlarni kuzatadi.
Dastur hozirda to‘rtta buyruqni qo‘llab-quvvatlaydi, ularning uchtasi to‘liq ishlab chiqilgan:
🔹 /cmd – Telegram orqali yuborilgan PowerShell buyruqlarini bajaradi.
🔹 /persist – o‘zini C:\Windows\Temp\svchost.exe katalogida qayta ishga tushiradi.
🔹 /screenshot – hali to‘liq ishlab chiqilmagan, lekin skrinshot olingani haqida xabar beradi.
🔹 /selfdestruct – o‘zini o‘chiradi va jarayonni yakunlaydi.
Dastur buyruqlar natijalarini Telegram kanaliga shifrlangan xabarlar orqali yuboradi. Masalan, /cmd buyrug‘ini bajarganda, hujumchi PowerShell kodini yuboradi va bu kod yashirin rejimda bajariladi.
Telegram, OneDrive, GitHub, Dropbox kabi onlayn xizmatlar orqali boshqariluvchi zararli dasturlarni aniqlash ancha qiyinlashadi. Sababi, bunday ilovalar kiberjinoyatchilarga o‘ta qulay boshqaruv imkoniyatini yaratib beradi va zararli trafikni odatiy tarmoq harakatlaridan ajratish qiyin bo‘ladi.
Netskope Advanced Threat Protection ushbu tahdidni Trojan.Generic.37477095 deb tasnifladi. Mutaxassislar bunday tahdidlarga qarshi doimiy monitoring va yangilangan xavfsizlik choralarini qo‘llash muhimligini ta’kidlashmoqda.
🔹 Dasturlar va tizimlarni muntazam yangilang – Eskirgan dasturlar va operatsion tizimlar bunday hujumlarga ko‘proq moyil bo‘ladi.
🔹 Antivirus va xavfsizlik vositalaridan foydalaning – Netskope va boshqa xavfsizlik firmalari bunday tahdidlarni aniqlash imkoniyatiga ega.
🔹 Tarmoq trafigini nazorat qiling – Telegram kabi xizmatlarga shubhali ulanishlarni tekshirib turing.
🔹 Administrator huquqlarini cheklang – Zarur bo‘lmagan foydalanuvchilarni cheklash orqali zararli dasturlarning ishlash ehtimolini kamaytiring.
🔹 Xodimlarni xabardor qiling – Kiberxavfsizlik bo‘yicha ta’lim va xabardorlik kampaniyalari xodimlarning shubhali faoliyatni erta aniqlashiga yordam beradi.
✅ Go dasturlash tilida yozilgan Telegram orqali boshqariluvchi yangi zararli dastur jiddiy tahdid bo‘lib, u onlayn xizmatlar yordamida xavfsizlik choralarini chetlab o‘tishga qodir.
✅ Tashkilotlar kiberxavfsizlik tizimlarini doimiy ravishda yangilashi, xodimlarini ogohlantirishi va shubhali tarmoq trafigini kuzatib borishi shart.
✅ Netskope Threat Labs ushbu tahdidni doimiy kuzatishda davom etmoqda va yangi ma’lumotlarni GitHub’dagi ommaviy bazasida e’lon qilmoqda.
🛡 Kiberxavfsizlikni e’tiborsiz qoldirmang! Yangi tahdidlarga qarshi kurashni oldindan rejalashtiring!
