كشف باحثون في مجال الأمن السيبراني عن برنامج خلفي جديد يعتمد على لغة البرمجة Golang، ويستخدم تطبيق Telegram كآلية للتواصل مع مركز التحكم والأمر (C2).
وأوضحت “نيتسكوب لابز” للأبحاث الأمنية، التي قدمت تفاصيل عن وظائف البرنامج الضار، أنه من المحتمل أن يكون ذا أصول روسية.
وقال الباحث الأمني لياندرو فرويس في تحليل نُشر الأسبوع الماضي: “تم تجميع البرنامج الضار باستخدام لغة Golang، وبمجرد تنفيذه، يعمل كبرنامج خلفي. وعلى الرغم من أنه يبدو قيد التطوير، إلا أنه يعمل بشكل كامل.”
تفاصيل البرنامج الخلفي:
عند تشغيله، يقوم البرنامج الخلفي بالتحقق مما إذا كان يعمل من موقع محدد وباسم معين – “C:\Windows\Temp\svchost.exe” – وإذا لم يكن كذلك، فإنه يقرأ محتوياته الخاصة، ويكتبها في ذلك الموقع، ثم ينشئ عملية جديدة لتشغيل النسخة المنسوخة وإنهاء نفسه.
استخدام واجهة برمجة تطبيقات Telegram Bot:
من الجوانب البارزة في هذا البرنامج الضار استخدامه لمكتبة مفتوحة المصدر توفر روابط لغة Golang لواجهة برمجة تطبيقات Telegram Bot لأغراض التحكم عن بعد. يتفاعل البرنامج مع واجهة برمجة تطبيقات Telegram Bot لتلقي أوامر جديدة من دردشة يتحكم فيها المهاجم. يدعم البرنامج أربعة أوامر مختلفة، ثلاثة منها مطبقة حاليًا:
/cmd: تنفيذ أوامر عبر PowerShell.
/persist: إعادة تشغيل نفسه تحت اسم “C:\Windows\Temp\svchost.exe”.
/screenshot: غير مطبق حاليًا.
/selfdestruct: حذف ملف “C:\Windows\Temp\svchost.exe” وإنهاء نفسه.
يتم إرسال نتائج هذه الأوامر مرة أخرى إلى قناة Telegram.
وأشارت “نيتسكوب” إلى أن الأمر “/screenshot” يرسل رسالة “تم التقاط لقطة الشاشة” على الرغم من عدم اكتماله.
الأصول الروسية للبرنامج الضار:
تُفسر الأصول الروسية للبرنامج الضار من خلال حقيقة أن الأمر “/cmd” يرسل رسالة “أدخل الأمر:” باللغة الروسية إلى الدردشة.
وقال فرويس: “يشكل استخدام التطبيقات السحابية تحديًا معقدًا للمدافعين، والمهاجمون على دراية بذلك. جوانب أخرى مثل سهولة إعداد واستخدام التطبيق هي أمثلة على سبب استخدام المهاجمين لتطبيقات مثل هذه في مراحل مختلفة من الهجوم.”
