Группа хакеров UNC5174 разработала новый тип бэкдора, который использует API платформы Discord для создания каналов управления и контроля. Об этом сообщили исследователи из AhnLab Security Intelligence Center (ASEC). Атака демонстрирует растущую тенденцию использования легитимных веб-сервисов в киберпреступлениях.
Описание
Группа UNC5174 применяет многоэтапную стратегию проникновения. Сначала злоумышленники получают доступ к системе через уже известные бэкдоры, такие как vshell. Затем, через некоторое время, они устанавливают дополнительные вредоносные программы, которые сложнее обнаружить. В частности, был обнаружен бэкдор на основе Discord Bot, который оставляет минимальные следы в системе.
Особенностью этой атаки стало использование Discord API в качестве канала управления. Это позволяет злоумышленникам маскировать свой трафик под легитимный пользовательский трафик платформы. Следовательно, такой подход помогает обходить традиционные системы безопасности. Более того, это соответствует стратегии persistence (устойчивости) группы UNC5174, поскольку обеспечивает резервный канал управления при блокировке основных серверов.
Discord изначально создавался как платформа для геймеров, но теперь используется различными сообществами для общения через текстовые и голосовые каналы. Важной особенностью является поддержка ботов, которые можно программировать через Discord API. Именно эту функциональность и эксплуатируют киберпреступники.
Для создания вредоносной программы злоумышленники использовали открытую библиотеку discordgo, написанную на языке Go. Данная библиотека упрощает взаимодействие с Discord API через REST интерфейсы и WebSocket соединения. На момент публикации отчета, 24 ноября 2025 года, вредоносный файл обнаруживался только продуктами AhnLab, имея показатель 1/64 на VirusTotal.
Анализ кода показывает, что бэкдор начинает работу с расшифровки токена бота и идентификатора сервера, которые хранятся в зашифрованном виде внутри файла. Для этого применяются алгоритмы base64 и AES. После получения этих данных устанавливается соединение с сервером злоумышленников через вызов функции discordgo.New().
Ключевым механизмом работы вредоносной программы является обработка события MessageCreate. С помощью функции AddHandler() бот регистрирует callback-функцию, которая активируется при получении новой команды в Discord-канале. Таким образом, атакующий может удаленно отправлять инструкции, просто вводя их в чат.
Функционал бэкдора включает несколько опасных возможностей. Во-первых, он выполняет произвольные системные команды через bash -c. Результаты выполнения сохраняются во временный файл, например, /tmp/message.txt, после чего отправляются обратно в Discord. Затем временный файл удаляется для скрытия следов деятельности. Во-вторых, программа может загружать и скачивать файлы с пораженной системы. В-третьих, она собирает различную системную информацию, используя дополнительные открытые библиотеки.
Примечательно, что весь вредоносный код занимает менее 100 строк, благодаря активному использованию готовых открытых решений. Это делает атаку особенно опасной, поскольку позволяет создавать эффективные бэкдоры с минимальными усилиями. Современные злоумышленники все чаще используют открытое программное обеспечение для создания вредоносных программ, которые маскируются под легитимные приложения.
Использование Discord в качестве канала управления значительно осложняет обнаружение угрозы. Такой трафик сливается с обычным сетевым трафиком платформы, что позволяет обходить многие системы защиты. Кроме того, атакующие избавляются от необходимости создавать собственную инфраструктуру, поскольку аутентификация и связь полностью осуществляются через Discord.
В заключение, эксперты по безопасности рекомендуют пользователям проявлять особую осторожность при работе с файлами из непроверенных источников. Растущая популярность атак с использованием легитимных веб-сервисов требует повышения осведомленности и применения комплексных мер защиты.
Индикаторы компрометации
MD5
- c193742412e98f1d46953f1ee73841b9
