新型Golang后门利用Telegram API进行攻击

关键要点

• 俄罗斯威胁行动者正在利用Telegram的API开发新的Golang后门。
• 名为Trojan.Generic.37477095的有效载荷执行后会触发“installSelf”功能。
• 后门支持的命令包括PowerShell命令执行、恶意软件重启及自我销毁。
• 云应用作为命令控制通道的使用让攻击者更容易实施攻击，且防御者难以区分正常用户与攻击者。

一项来自的分析显示，疑似俄罗斯威胁行动者正在不断开发一种新的Golang后门，该后门利用Telegram的API进行指令与控制通信，而不是依赖于攻击者特定的基础设施。

当有效载荷Trojan.Generic.37477095被执行时，会触发“installSelf”功能，确保从预定位置进行操作，然后通过一个与Telegram互动的开源包建立命令控制（C2）连接。据研究显示，后门已实现四个支持命令中的三个，包括： - /cmd：允许执行PowerShell命令。 - /persist：使恶意软件能够重启。 - /selfdestruct：可以进行恶意文件的删除和进程终止。

研究人员指出：“尽管我们并不经常看到云应用作为C2通道，但这是一种非常有效的方法，原因在于攻击者不需要为此实施整个基础设施，这使他们的生活变得容易。同时，从防御者的角度来看，也很难区分哪个是正常用户在使用API，哪个是C2通信。”

这种利用Telegram的后门攻击方式，为网络安全带来了新的挑战，相关部门应加强防范并提升检测能力。对于企业和用户来说，了解这些新兴威胁是保护自身网络安全的关键。