Positive Technologies
Новости

Эксперты Positive Technologies обнаружили вирус-шпион с управлением через Telegram

6 декабря 2022

Вредонос TgRAT может делать снимки экрана, скачивать файлы на атакуемый узел, загружать данные с узла на управляющий сервер

Вредоносная программа TgRAT, использующая закрытые чаты в Telegram в качестве каналов управления, была выявлена в ходе одного из расследований, проведенного командой по реагированию на инциденты ИБ (экспертный центр безопасности Positive Technologies — PT Expert Security Center, PT ESC).

Исследование исходного кода показало, что вредонос создан целенаправленно под конкретные устройства, с которых злоумышленники планируют похитить конфиденциальную информацию. Сначала TgRAT проверяет имя узла, на котором он запущен. Если имя не совпадает со значением, вшитым в тело программы, вредоносное ПО завершает работу.

На момент проведения расследования исходный код TgRAT отсутствовал в публичных источниках, и на первых порах вредонос может не детектироваться антивирусными средствами. Для его обнаружения эксперты Positive Technologies рекомендуют использовать инструменты мониторинга трафика и обращать внимание на исходящий трафик с внутренних серверов корпоративной инфраструктуры на Telegram-серверы. Кроме этого, необходимо наблюдать за потоком данных внутри сети (при таком подходе можно выявлять сетевые туннели и нестандартное общение между серверами), покрывать антивирусными средствами защиты все узлы в инфраструктуре и использовать песочницы.

«Во многих компаниях Telegram используют в качестве корпоративного мессенджера, что подталкивает злоумышленников к разработке средств эксплуатации Telegram API для скрытого управления бэкдорами и выгрузки конфиденциальной информации. Один из наиболее эффективных подходов к выявлению подобных каналов утечки — использование антивирусов на всех узлах, включая серверы, и применение систем глубокого анализа трафика (NTA), песочниц (sandbox), средств выявления угроз безопасности и реагирования на них на конечных точках (EDR). Кроме того, трафик с внутренних серверов корпоративной инфраструктуры на Telegram-серверы — это уже подозрительный процесс, который должен насторожить службу безопасности», — отметил Денис Гойденко, руководитель отдела реагирования на угрозы информационной безопасности, Positive Technologies.

Одним из основных способов проникновения злоумышленника в инфраструктуру по-прежнему является фишинг. Пользователям рекомендуется соблюдать осторожность, не открывать подозрительные письма, не переходить по неизвестным ссылкам, не загружать ПО с непроверенных сайтов и торрент-площадок, а пользоваться лицензионными версиями из доверенных источников. Организациям рекомендуется информировать сотрудников о различных видах фишинга и новых схемах мошенничества.