Điều đáng chú ý là backdoor sử dụng Telegram Bot API làm kênh giao tiếp chính cho các lệnh điều khiển từ hacker. Telegram là một nền tảng khá phổ biến hiện nay nay cùng với tính năng ẩn danh cao, khó bị phát hiện càng làm cho các cuộc tấn công này trở nên khó theo dõi.
Backdoor này có thể thực hiện một số lệnh từ điều khiển từ xa thông qua Telegram. Các lệnh chủ yếu bao gồm:
- /cmd: Thực thi lệnh PowerShell. Điều này cho phép kẻ tấn công chạy bất kỳ lệnh nào trên hệ thống mục tiêu mà không cần phải trực tiếp truy cập.
- /persist: Kích hoạt lại phần mềm độc hại mỗi khi hệ thống khởi động lại, đảm bảo rằng backdoor vẫn duy trì quyền kiểm soát.
- /screenshot: Lệnh này chưa được triển khai hoàn chỉnh nhưng dự định sẽ cho phép kẻ tấn công chụp ảnh màn hình của nạn nhân.
- /selfdestruct: Xóa các tệp của phần mềm độc hại và tự hủy để không bị phát hiện sau khi hoàn thành các mục tiêu.
*Tính năng ẩn và tránh phát hiện
Một trong những yếu tố khiến backdoor này đặc biệt nguy hiểm là khả năng ẩn mình trong hệ thống và sử dụng Telegram như một công cụ giao tiếp kín đáo. Telegram Bot API không bị chặn rộng rãi bởi các hệ thống bảo mật, giúp kẻ tấn công duy trì liên lạc với phần mềm độc hại mà không bị phát hiện dễ dàng.
Mặc dù backdoor này không có khả năng tấn công theo chiều rộng, nhưng việc nó có thể thực thi lệnh từ xa, duy trì quyền kiểm soát, và thu thập thông tin từ hệ thống khiến nó trở thành một mối đe dọa nghiêm trọng đối với các nạn nhân bị tấn công. Phần mềm độc hại này có thể bị lợi dụng trong các chiến dịch gián điệp mạng hoặc các cuộc tấn công dài hạn để thu thập thông tin nhạy cảm.
Việc sử dụng Telegram Bot API trong các cuộc tấn công mạng cho thấy sự sáng tạo của các nhóm hacker trong việc sử dụng các nền tảng phổ biến để lẩn tránh sự phát hiện. Điều này cũng cảnh báo về sự cần thiết phải cập nhật các hệ thống bảo mật và duy trì các biện pháp phòng ngừa để đối phó với các mối đe dọa ngày càng tinh vi. Các chuyên gia khuyến nghị người dùng và tổ chức nên cẩn trọng khi tải và cài đặt phần mềm từ các nguồn không rõ ràng, và luôn giữ cho các phần mềm bảo mật và hệ điều hành của mình được cập nhật.