66/68 (IT) ประจำวันอังคารที่ 18 กุมภาพันธ์ 2568
นักวิจัยด้านความปลอดภัยจาก Netskope Threat Labs พบมัลแวร์แบ็กดอร์ตัวใหม่ที่พัฒนาด้วยภาษา Golang โดยใช้ Telegram Bot API เป็นช่องทางสื่อสารระหว่างผู้โจมตีกับมัลแวร์ ซึ่งช่วยให้สามารถรับคำสั่งและส่งข้อมูลกลับไปยังแชทบน Telegram ได้ง่ายขึ้น นักวิจัยคาดว่ามัลแวร์นี้อาจมีต้นกำเนิดจากรัสเซีย เนื่องจากพบว่าข้อความบางส่วนในโค้ดใช้ภาษารัสเซีย
มัลแวร์จะตรวจสอบว่าทำงานอยู่ในตำแหน่ง “C:\Windows\Temp\svchost.exe” หรือไม่ หากไม่พบจะคัดลอกตัวเองไปยังตำแหน่งดังกล่าวและรันไฟล์ใหม่เพื่อหลบเลี่ยงการตรวจจับ ซึ่งรองรับคำสั่ง 4 รายการ ได้แก่ การรันคำสั่งผ่าน PowerShell (/cmd), การสร้างกระบวนการทำงานซ้ำ (/persist), การจับภาพหน้าจอ (ยังไม่สามารถใช้งานได้) และคำสั่งทำลายตัวเอง (/selfdestruct) ซึ่งจะลบไฟล์และหยุดทำงาน
นักวิจัยเตือนว่าผู้โจมตีเลือกใช้แพลตฟอร์มคลาวด์อย่าง Telegram เนื่องจากตั้งค่าและใช้งานได้ง่าย ทำให้สามารถหลีกเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยองค์กรได้ดีขึ้น เพื่อป้องกันภัยคุกคามนี้ องค์กรควรเฝ้าระวังพฤติกรรมที่ผิดปกติของระบบ ตรวจสอบการเชื่อมต่อกับเซิร์ฟเวอร์ที่ต้องสงสัย และบังคับใช้นโยบายความปลอดภัยที่เข้มงวดขึ้น
แหล่งข่าว https://thehackernews.com/2025/02/new-golang-based-backdoor-uses-telegram.html
