Специалисты компании «Доктор Веб» выявили Linux-версию известного трояна TgRat, применяемого для целевых атак на компьютеры. Одной из примечательных особенностей данного трояна является то, что он управляется посредством Telegram-бота.

Это вредоносное ПО принадлежит к типу троянов удалённого доступа, более известному под довольно неблагозвучной, но очень меткой аббревиатурой RAT (в переводе с английского «крыса»). По своей сути «ратники» — это привычные средства удалённого доступа и администрирования, но работающие на злоумышленников. Основное отличие заключается в том, что атакуемый пользователь не должен заподозрить, что на его машине хозяйничает кто-то другой.

Изначально троян TgRat, написанный для ОС Windows, был выявлен в 2022 году. Он представлял собой небольшую вредоносную программу, предназначенную для выгрузки данных с конкретной скомпрометированной машины. Не так давно вирусные аналитики компании «Доктор Веб» обнаружили его собрата, адаптированного для работы в ОС Linux.

Запрос на расследование инцидента информационной безопасности поступил в нашу вирусную лабораторию от компании, предоставляющей услуги хостинга. Антивирус Dr.Web обнаружил подозрительный файл на сервере одного из клиентов. Им оказался дроппер трояна, то есть программа, которая предназначена для установки вредоносного ПО на атакуемый компьютер. Этот дроппер распаковывал в систему троян Linux.BackDoor.TgRat.2.

Этот троян также создавался для атаки на конкретные компьютеры: при запуске он сверяет хеш имени машины со строкой, вшитой в тело трояна. Если значения не совпадают, TgRat завершает свой процесс. А в случае успешного запуска троян подключается к сети и реализует довольно необычную схему взаимодействия со своим управляющим сервером, в качестве которого выступает Telegram-бот.

Мессенджер Telegram довольно часто используется во многих компаниях в качестве корпоративного средства общения. Поэтому нет ничего удивительного в том, что злоумышленники могут эксплуатировать его в качестве канала для управления вредоносным ПО и кражи конфиденциальной информации: популярность программы и рутинность трафика к серверам Telegram способствуют маскировке вредоносного ПО в скомпрометированной сети.

Управление трояном осуществляется через закрытую группу в мессенджере, к которой подключен Telegram-бот. Используя мессенджер, злоумышленники могут отдавать команды трояну: например, скачать со скомпрометированной системы файлы, сделать снимок экрана, удалённо выполнить команду или загрузить файл, используя вложения.

рис.1
рис.1

В отличие от своего собрата для Windows, код этого трояна был зашифрован шифром RSA, а для выполнения команд использовался интерпретатор bash, что позволяло выполнять целые скрипты в рамках одного сообщения. Каждый экземпляр трояна имеет свой собственный идентификатор — таким образом злоумышленники могли отправлять команды нескольким ботам, подключив их все к одному чату.

рис.2
рис.2
рис.3
рис.3

Данная атака, несмотря на её необычность в плане выбора схемы взаимодействия между трояном и управляющим сервером, может быть выявлена при внимательном анализе сетевого трафика: обмен данными с серверами Telegram может быть характерным для пользовательских компьютеров, но никак не для сервера в локальной сети.

Индикаторы компрометации

Комментарии (6)


  1. Vcoderlab
    04.07.2024 15:26
    +8

    Не раскрыт механизм проникновения трояна в систему.

    Если через уязвимости - то через какие? Как проверить свой сервер на подверженность этим уязвимостям?

    Или может быть через фишинг (запуск пользователем вредоносного файла, распространяемого под видом чего-то безобидного)?

    В любом случае как проверить свой сервер, не сидит ли в нём уже эта зараза?


    1. electrofetish
      04.07.2024 15:26

      Заходя на сайт антивирусной программы, хочу видеть советы по настройке цифровой безопасности без установки антивирусного ПО.. все необходимые рекомендации и прочее, как некая компетенция.
      Тут тебе конечно порекомендуют Dr.Web)
      На мой взгляд все же, если есть возможность в ручном режиме все мониторить - лучший выход.
      За последнее время самыми эффективными вирусами можно считать бэкдоры.


    1. TheyLive
      04.07.2024 15:26

      Уязвимость прошивок определенного оборудования, например QSnatch для QNAP.


  1. Shaman_RSHU
    04.07.2024 15:26
    +6

    может быть характерным для пользовательских компьютеров, но никак не для сервера в локальной сети

    Очень много компаний создают ботов для мониторинга. И логи туда сыпятся с Zabbix, Prometheus и т.п. Так вот они как раз установлены на серверах, поэтому трафик между серверами Telegram и серверами в инфраструктуре может быть. А ещё могут быть агенты на всех серверах, которые тоже отправляют оповещения в каналы Telegram.


  1. Kahelman
    04.07.2024 15:26
    +4

    Что-то похоже больше на рекламу антивируса чем на реальную статью про дырку в безопасности …


    1. exTvr
      04.07.2024 15:26

      Что-то похоже больше на рекламу антивируса

      В корпоративном блога компании Доктор Веб?

      Да не может быть такого.

      Вам показалось.