近年来，网络安全威胁正以惊人的速度发展，而一些攻击者正在利用流行的云应用来进行恶意活动。最近，由 Netskope 威胁实验室发现的一个新型后门程序令人堪忧，它基于 Golang 语言开发，并通过 Telegram 进行命令与控制（C2）通信。这种行径不仅展示了攻击者的创造力，同时也提出了对网络防御人员严峻的挑战。

这个后门程序（Trojan.Generic.37477095）似乎起源于俄罗斯，利用了 Telegram 的 API，攻击者能够借此进行隐秘的命令执行。众所周知，Telegram 是一个备受欢迎的消息应用程序，其良好的隐私保护和匿名特性使得其成为网络攻击者的新目标。研究人员指出，利用这种平台进行的 C2 通信 避免了恶意软件需要专门攻击基础设施的麻烦，从而让攻击者能够更加隐蔽地进行操控。

当该后门程序被执行时，它首先会启动名为“installSelf”的功能，检查自身是否在特定位置和文件名下运行：C:\Windows\Temp\svchost.exe。如果不是，后门程序会将自身复制到该位置，创建一个新的进程以启动复制品，随后终止原始实例。这一过程旨在确保后门程序在预定位置运行后再继续其恶意活动。

研究人员在分析中提到，后门程序能通过利用开源的 Golang 包与 Telegram 进行互动，建立一个 bot 实例，并监控指定的 Telegram 聊天以接收新命令。该后门程序目前支持四个命令，但仅有三个已经实现。其中“/cmd”命令允许通过 PowerShell 执行命令，必须接收两个消息：一个命令本身，接着是需要执行的 PowerShell 命令。同时，后门程序会在接收到命令后发送一个俄语提示，询问操作员“输入命令：”。

研究者强调，使用云应用作为 C2 通道极大地增加了检测的难度。正如他们在技术博客中指出的那样，“虽然我们不常见云应用被用作 C2 通道，但这是一种非常有效的方法，攻击者意识到这一点并利用它来简化其运营，同时也使防御者更难以区分正常用户使用的 API 和恶意 C2 通信。”

为了保护自身免受这种新型后门程序的侵害，用户应确保其所有设备上安装最新且声誉良好的杀毒软件和反恶意软件软件。这些安全解决方案应有能力检测和阻止恶意文件，包括基于 Go 的可执行文件。在此背景下，及时了解和评估自己的网络安全防护措施显得尤为重要。

随着技术的不断演进，安全研究人员将继续跟进和分析这种后门程序的发展及其相关的策略、技术和程序（TTPs）。为了更好地应对这些新兴威胁，监控和更新防御系统至关重要。随着更多攻击者转向 云平台 来规避传统的安全机制，网络安全的未来将依赖于更灵活的应对策略和更加全面的安全架构设计。

在这个数字化和信息化的新时代，网络安全不仅是一个独立的领域，而是涉及每一个互联网用户的共同责任。我们必须共同努力，提高警觉，以应对潜在的网络攻击和恶意活动，保护我们的个人信息和隐私。随着这些新威胁的出现，网络安全意识训练和技术支持将是保持安全的关键。在面对不断变化的网络安全格局时，每个人都应成为自己的最佳防线。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！