🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

الباب الخلفي الجديد المبني بلغة غو لانغ: استخدام تيليجرام كوسيلة للسيطرة والتحكم

2–3 minutes

في عالم متسارع التطور والابتكار في المجال الإلكتروني، كشف الباحثون في مجال الأمن السيبراني عن باب خلفي جديد تم تطويره باستخدام لغة البرمجة GoLang، والذي يستخدم تطبيق تيليجرام كآلية للسيطرة والتحكم (C2). وقد أوضح مختبر التهديدات في Netskope، الذي قام بتحليل وظائف هذا البرمجية الخبيثة، أنه يحتمل أن يكون ذو أصل روسي.

تحليل مفصل وسياق تاريخي

وفقًا لما ذكره الباحث الأمني لياندرو فريز، فإن البرمجية الخبيثة تم تجميعها باستخدام لغة GoLang، وعند تنفيذها، تعمل كمنفذ خلفي. وعلى الرغم من أن البرمجية تبدو وكأنها لا تزال في مرحلة التطوير، إلا أنها تعمل بشكل كامل. بمجرد إطلاقها، فإن هذا الباب الخلفي مصمم ليتحقق مما إذا كان يعمل تحت موقع معين وباسم معين – “C:\Windows\Temp\svchost.exe” – وإذا لم يكن كذلك، فإنه يقرأ محتوياته الخاصة، ويكتبها في ذلك الموقع، وينشئ عملية جديدة لإطلاق النسخة المنسوخة وإنهاء نفسه.

تكنولوجيا تيليجرام والتحديات الأمنية

أحد الجوانب البارزة لهذه البرمجية الخبيثة هو استخدامها لمكتبة مفتوحة المصدر تقدم روابط برمجية لتطبيق تيليجرام Bot API لأغراض السيطرة والتحكم. يتضمن ذلك التفاعل مع تيليجرام Bot API لتلقي أوامر جديدة صادرة من محادثة يتحكم فيها الفاعل. تدعم هذه البرمجية أربع أوامر مختلفة، على الرغم من أن ثلاثة منها فقط هي التي تم تنفيذها حاليًا:

  • /cmd – تنفيذ الأوامر عبر PowerShell
  • /persist – إعادة إطلاق نفسه تحت “C:\Windows\Temp\svchost.exe”
  • /screenshot – لم يتم تنفيذها
  • /selfdestruct – حذف ملف “C:\Windows\Temp\svchost.exe” وإنهاء نفسه

يتم إرسال ناتج هذه الأوامر إلى قناة تيليجرام. وقد ذكرت Netskope أن أمر “/screenshot” يرسل الرسالة “تم التقاط الشاشة” على الرغم من أنه لم يتم تطويره بشكل كامل.

الأصول الروسية والمخاطر المرتبطة

يتم تفسير الجذور الروسية لهذه البرمجية الخبيثة من خلال حقيقة أن أمر “/cmd” يرسل الرسالة “أدخل الأمر:” باللغة الروسية إلى المحادثة. ويشكل استخدام التطبيقات السحابية تحديًا معقدًا للمدافعين، حيث أن المهاجمين مدركون لذلك. كما أشار فريز إلى سهولة إعداد واستخدام التطبيقات كسبب لاستخدام المهاجمين لتلك التطبيقات في مراحل مختلفة من الهجوم.

التبعات الأمنية والتوجهات المستقبلية

يتضح من هذه الحادثة أن التهديدات السيبرانية مستمرة في التطور، مستغلة التطبيقات السحابية والبروتوكولات المفتوحة لتوفير وسائل جديدة للسيطرة والتحكم. وفي ظل هذا السياق المتغير، يظل من الضروري أن تبقى المؤسسات وفرق الأمن السيبراني على دراية بالاتجاهات الحالية وأن تعتمد استراتيجيات دفاعية فعالة.

دعوة للنقاش

كيف يمكن للشركات تحسين استراتيجيات الدفاع ضد التهديدات التي تستغل التطبيقات السحابية؟ وما هي الخطوات التي يمكن اتخاذها لتعزيز الأمان في التعامل مع منصات التواصل الاجتماعي مثل تيليجرام؟

لمزيد من المعلومات والتحليلات الحصرية، تابعونا على تويتر وفيسبوك.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة