黑客利用 Telegram API 传播新的 Golang 后门

Netskope 的网络安全研究人员发现了一种新型的、具备一定功能但可能仍处于开发阶段的基于 Golang 语言编写的后门程序,该程序利用 Telegram 进行指令与控制(C2)活动。这种恶意软件(Trojan.Generic.37477095)疑似源自俄罗斯,它借助 Telegram 这类云服务达成恶意目的。对攻击者而言,这些云服务使用便捷,而研究人员却难以对其进行有效监控。利用这种方式进行 C2 通信,攻击者无需搭建专门的基础设施,OneDrive、GitHub 和 Dropbox 等其他云平台同样存在被此类恶意利用的风险。

该恶意软件由 Go 语言编译,在执行时会启动 "installSelf" 函数。这个函数会检查自身是否在指定位置 "C:\Windows\Temp\svchost.exe" 运行。若不在,恶意软件会将自身复制到该位置,创建新进程来启动副本,随后终止原始进程。通过在初始化函数中执行这一过程,确保恶意软件从预设位置运行。研究人员使用 Detect It Easy 工具检测发现,该恶意软件在执行过程中呈现出典型的后门特征。

在 C2 通信方面,该后门程序借助一个开源的 Go 语言包与 Telegram 进行交互。它利用 Telegram BotFather 功能和特定令牌(在本次分析样本中为 8069094157:AAEyzkW_3R3C-tshfLwgdTYHEluwBxQnBuk )创建机器人实例,进而监控特定的 Telegram 聊天窗口以获取新指令。该恶意软件支持四个指令,但目前仅有三个指令可正常使用。在执行指令前,它会先验证接收消息的长度和内容。其中,"/cmd" 指令需要两条消息,一条是指令本身,另一条是待执行的 PowerShell 命令。当收到初始指令后,恶意软件会在聊天窗口发送一条俄文提示("输入命令:"),然后等待后续的 PowerShell 命令,并在隐藏的 PowerShell 窗口中执行。

"/persist" 指令用于重复初始安装时的检查和运行过程,重新启动恶意软件后退出。"/screenshot" 指令虽未完全开发完成,但仍会向 Telegram 频道发送 "Screenshot captured" 的消息。"/selfdestruct" 指令则用于删除恶意软件文件(C:\Windows\Temp\svchost.exe)并终止进程,同时向 Telegram 频道发送 "Self - destruct initiated" 消息通知操作已执行。所有指令的执行结果都会通过 "sendEncrypted" 函数回传至 Telegram 频道。

这种恶意利用云应用程序的行为给网络安全防御工作带来了巨大挑战。研究人员在技术博客中指出:"虽然将云应用作为 C2 通道并非常见现象,但这确实是攻击者常用的有效手段。一方面,攻击者无需搭建复杂的基础设施,降低了攻击成本;另一方面,从防御者角度出发,很难区分正常的 API 用户请求和恶意的 C2 通信。"

为保障设备安全,建议在所有设备上安装最新且口碑良好的防病毒和反恶意软件。这类安全软件应具备检测和拦截恶意文件的能力,包括基于 Go 语言编写的可执行文件,以此来降低遭受此类恶意攻击的风险。

相关推荐
泪不是Web妳而流1 小时前
【CTFSHOW_Web入门】命令执行
web安全·网络安全·php·linux命令·rce·命令执行·ctfshow命令执行wp题解
RLG_星辰7 小时前
第六章-哥斯拉4.0流量分析与CVE-2017-12615的复现
笔记·安全·网络安全·tomcat·应急响应·玄机
独行soc10 小时前
2025年渗透测试面试题总结-某服面试经验分享(附回答)(题目+回答)
linux·运维·服务器·网络安全·面试·职场和发展·渗透测试
2501_9160137412 小时前
从一次被抄袭经历谈起:iOS App 安全保护实战
websocket·网络协议·tcp/ip·http·网络安全·https·udp
请再坚持一下13 小时前
网络安全护网行动之个人见解
安全·web安全·网络安全
00后程序员张16 小时前
做 iOS 调试时,我尝试了 5 款抓包工具
websocket·网络协议·tcp/ip·http·网络安全·https·udp
芯盾时代17 小时前
RSAC 2025观察:零信任+AI=网络安全新范式
人工智能·安全·web安全·网络安全
2501_9151063220 小时前
开发者如何优雅应对HTTPS抓包难题
websocket·网络协议·tcp/ip·http·网络安全·https·udp
白山云北诗21 小时前
什么是 DDoS 攻击?从零到精通的全面解析
网络安全·ddos·ddos攻击如何防护·什么是ddos攻击·ddos攻击方式有哪些
编程在手天下我有1 天前
信息安全威胁全景解析:类型、手段与潜在风险
网络安全·信息安全·网络攻击·密码破解·web 服务攻击·移动设备安全