Les messages C2 furtifs gérés par la porte dérobée de Golang pourraient facilement être confondus avec la communication légitime de l’API télégramme.
Des pirates ont été trouvés en déploiement d’un logiciel malveillant russe inachevé, écrit à Golang, qui exploite le télégramme comme son canal de commande et de contrôle (C2).
Netskope Threat Labs, l’aile de recherche de la société de cybersécurité, Netskope, a découvert le malware. « Dans le cadre des activités de chasse aux laboratoires de menaces de Netskope, nous sommes tombés sur un CIO partagé par d’autres chercheurs et avons décidé de l’examiner de plus près », ont déclaré des chercheurs de Netskope dans un article de blog.
Les chercheurs ont ajouté que les logiciels malveillants (Trojan.Generic.37477095), qui semblent actuellement en cours de développement, mais qui est entièrement fonctionnel, agit comme une porte dérobée en exécution.
Abuser de l’API télégramme pour les communications C2
Selon les chercheurs, la communication C2 établie par les logiciels malveillants pourrait facilement être confondue avec des déploiements API télégrammes légitimes, ce qui rend sa détection difficile.
«Bien que l’utilisation d’applications cloud comme canaux C2 ne soit pas quelque chose que nous voyons tous les jours, c’est une méthode très efficace utilisée par les attaquants non seulement parce qu’il n’est pas nécessaire de mettre en œuvre une infrastructure entière pour cela, ce qui facilite la vie des attaquants, mais aussi parce que c’est Très difficile, du point de vue du défenseur, pour différencier ce qui est un utilisateur normal utilisant une API et ce qui est une communication C2 », ont noté des chercheurs.
La porte dérobée utilise Telegram comme mécanisme C2 en utilisant un package GO open-source pour interagir avec lui, a ajouté le billet de blog. Il crée initialement une instance de bot utilisant la fonction de botfather de Telegram qui permet de créer, de gérer et de configurer des bots télégrammes.
Le programme malveillant appelle ensuite la fonction GetUpDatesChan () au sein de la bibliothèque TGBOTAPI, un wrapper Golang pour l’API Bot Telegram, qui permet au programme de créer un canal télégramme et de recevoir des commandes C2.
Commandes d’exécution et de persistance de code
Les chercheurs ont déclaré que la porte dérobée accepte actuellement quatre commandes C2 au total, qui sont envoyées au canal télégramme via la fonction du package d’envoi, dont on n’a pas encore été implémenté.
Le plus critique est la commande «/ cmd» pour exécuter les codes PowerShell, qui peuvent permettre un accès non autorisé aux ressources système. Cette commande est reçue dans le canal Telegram en tant que deux messages de chat distincts, l’un étant la commande «/ cmd» elle-même et l’autre étant la commande PowerShell à exécuter.
En utilisant la commande «/ persiste», le malware vérifie d’abord s’il est exécuté à un emplacement spécifique dans le système local et, s’il ne fonctionne pas déjà, se relance et sort. Une commande «autodestruct» est également implémentée pour effacer le malware dudit emplacement et se terminer.
Il existe une commande «/ capture d’écran» qui a été provisoire dans le malware mais n’a pas été entièrement mise en œuvre, ont déclaré des chercheurs. L’équipe NetSkope a partagé les CIO et scripts liés au malware dans un référentiel github dédié. Quelques autres applications légitimes comme OneDrive, GitHub, Dropbox, Discord, Tor, etc. ont également été abusées par les acteurs de la menace dans le passé pour établir des canaux C2 plus rapides et difficiles à détecter.
