mars 1, 2021

Les logiciels malveillants Go sont désormais courants, ayant été adoptés à la fois par les APT et les groupes de cybercriminalité

Par andy1712


go-lang.png

Le nombre de souches de logiciels malveillants codées dans le langage de programmation Go a connu une forte augmentation d’environ 2000% au cours des dernières années, depuis 2017, a déclaré la société de cybersécurité Intezer dans un rapport publié cette semaine.

Les conclusions de l’entreprise mettent en évidence et confirmer une tendance générale dans l’écosystème des malwares, où les auteurs de malwares se sont lentement éloignés de C et C ++ pour Aller, un langage de programmation développé et lancé par Google en 2007.

Intezer: Go malware, désormais un événement quotidien

Tandis que le premier malware basé sur Go a été détecté en 2012, il a cependant fallu quelques années à Golang pour se familiariser avec la scène des malwares.

«Avant 2019, la détection de logiciels malveillants écrits en Go était plus rare et en 2019, elle est devenue une occurrence quotidienne», a déclaré Intezer dans son rapport.

Mais aujourd’hui, Golang (comme on l’appelle souvent au lieu de Go) a percé et a été largement adopté.

Il est utilisé par les groupes de piratage des États-nations (également appelés APT), les opérateurs de cybercriminalité et même les équipes de sécurité, qui l’ont souvent utilisé pour créer des boîtes à outils de test de pénétration.

Il y a trois raisons principales pour lesquelles Golang a vu cette soudaine montée en popularité. Le premier est que Go prend en charge un processus simple de compilation multiplateforme. Cela permet aux développeurs de logiciels malveillants d’écrire du code une fois et de compiler des binaires à partir de la même base de code pour plusieurs plates-formes, ce qui leur permet de cibler Windows, Mac et Linux à partir de la même base de code, une polyvalence qu’ils n’ont généralement pas avec de nombreux autres langages de programmation.

La deuxième raison est que les binaires basés sur Go sont encore difficiles à analyser et à effectuer de l’ingénierie inverse par les chercheurs en sécurité, ce qui a maintenu les taux de détection des logiciels malveillants basés sur Go très bas.

La troisième raison est liée à la prise en charge de Go pour travailler avec les paquets et les requêtes réseau. Intezer explique:

“Go dispose d’une pile réseau très bien écrite et facile à utiliser. Go est devenu l’un des langages de programmation pour le cloud avec de nombreuses applications cloud natives écrites. Par exemple, Docker, Kubernetes, InfluxDB, Traefik, Terraform, CockroachDB, Prometheus et Consul sont tous écrits en Go. Cela est logique étant donné que l’une des raisons derrière la création de Go était d’inventer un meilleur langage qui pourrait être utilisé pour remplacer les services réseau C ++ internes utilisés par Google. “

Étant donné que les souches de logiciels malveillants altèrent, assemblent ou envoient / reçoivent généralement des paquets réseau tout le temps, Go fournit aux développeurs de logiciels malveillants tous les outils dont ils ont besoin en un seul endroit, et il est facile de comprendre pourquoi de nombreux codeurs de logiciels malveillants abandonnent C et C ++ pour cela. Ces trois raisons expliquent pourquoi nous avons vu plus de logiciels malveillants Golang en 2020 que jamais auparavant.

“Beaucoup de ces logiciels malveillants [families] sont des botnets ciblant les appareils Linux et IoT pour installer des crypto-mineurs ou inscrire la machine infectée dans des botnets DDoS. En outre, les ransomwares ont été écrits en Go et semblent devenir plus courants », a déclaré Intezer.

Des exemples de certaines des menaces Go-based les plus importantes et les plus répandues observées en 2020 incluent (par catégorie):

Malware APT de l’État-nation:

  • Zebrocy – Le groupe APT28, sponsorisé par l’État russe, a créé l’année dernière une version Go de son malware Zebrocy.
  • WellMess – Le groupe APT29, parrainé par l’État russe, a déployé l’année dernière de nouvelles versions mises à niveau de son malware WellMess basé sur Go.
  • Divin12 – Un groupe parrainé par l’État chinois a déployé des portes dérobées basées sur Go pour attaques contre la communauté tibétaine l’année dernière.
  • Go Loader – L’APT Mustang Panda, lié à la Chine, a déployé l’année dernière un nouveau chargeur basé sur Go pour ses attaques.

Logiciel malveillant e-crime:

  • GOSH – Le tristement célèbre groupe Carbanak a déployé un nouveau RAT nommé GOSH écrit en Go en août dernier.
  • Stupide – De nouvelles versions du chargeur Glupteba ont été vues en 2020, plus avancées que jamais.
  • UNE nouveau RAT Le ciblage des serveurs Linux exécutant Oracle WebLogic a été vu par Bitdefender.
  • CryptoStealer.Go – Des versions nouvelles et améliorées du malware CryptoStealer.Go ont été vues en 2020. Ce malware cible les portefeuilles de crypto-monnaie et les mots de passe des navigateurs.
  • Aussi, en 2020, un voleur de presse-papiers écrit en Go a été trouvé.

Nouvelles souches de ransomware écrites en Go:

Naturellement, à la lumière de ses récentes découvertes, Intezer, avec d’autres, prévoyez que l’utilisation de Golang continuera d’augmenter dans les années à venir et rejoindra C, C ++ et Python, en tant que langage de programmation préféré pour le codage des logiciels malveillants à l’avenir.