详细内容或原文请订阅后点击阅览

新的Golang的后门依赖C2 Communication

2025年2月17日 18:41 33 Comments
X Twitter Instagram Mail

Netskope威胁实验室研究人员使用电报进行C2通信(可能是俄罗斯起源)发现了一个基于Golang的后门。 Netskope威胁实验室发现了使用电报的C2的基于Golang的后门。该恶意软件仍在开发中,但功能性,可利用云应用程序逃避检测。专家认为,新的Go Backoor可能具有俄罗斯的起源。执行[…]

来源:Security Affairs _恶意软件

新的Golang的后门依赖C2 Communication

新的Golang的后门依赖C2 Communication

Pierluigi Paganini Pierluigi Paganini 2025年2月17日

Netskope威胁实验室研究人员使用电报进行C2通信(可能是俄罗斯起源)发现了一个基于Golang的后门。

NetSkope威胁实验室发现了使用C2电报的基于Golang的后门。该恶意软件仍在开发中,但功能性,可利用云应用程序逃避检测。专家认为,新的Go Backoor可能具有俄罗斯的起源。

执行恶意软件后,它的作用像后门,它将自己移至“ C:\ Windows \ temp \ svchost.exe”(如果还没有),然后在终止之前启动新副本。

恶意代码使用开源GO软件包连接到电报,并创建一个bot实例,检索更新并聆听命令。

开源go包

库支持Telegram Bot API的Golang绑定。

“恶意软件支持四个不同的命令,但实际上只有三个命令。下表简要说明了这些命令中的每个命令。

“恶意软件支持四个不同的命令,但实际上只有三个命令。下表简要说明了这些命令中的每个命令。
commandDescription/cmdexecute命令通过powerShell/persisterLaunch本身在c:\ windows \ temp \ temp \ svchost.exe.exe/screenshotnot实现/selfdestructDelete本身
commandDescription/cmdexecute命令通过powerShell/persisterLaunch本身在c:\ windows \ temp \ temp \ svchost.exe.exe/screenshotnot实现/selfdestructDelete本身
命令deScription 命令deScription 命令 描述 /cmdexecute命令通过powershell/persisterLaunch本身在c:\ windows \ temp \ svchost.exe.exe/screenshotnot下进行/selfdestructDelete本身 /cmdexecute命令通过PowerShell < /div> /cmd < /div> 通过PowerShell执行命令 /persistrelaunch本身在C:\ Windows \ temp \ svchost.exe < /div>下 /persist < /div> 在C下重新推出本身:\ Windows \ temp \ svchost.exe /Screenshotnot实施< /div> 发送
开源 exe 后门 实验室 起源 temp 检测 使用 命令 研究人员 实际上 软件包 C2 应用程序 逃避 Golang svchost 软件支持 简要说明 电报 俄罗斯 恶意软件 cmdexecute div 不同的 威胁