Специалисты компании «Доктор Веб» выявили Linux-версию известного трояна TgRat, применяемого для целевых атак на компьютеры. Одной из примечательных особенностей данного трояна является то, что он управляется посредством Telegram-бота.

Это вредоносное ПО принадлежит к типу троянов удалённого доступа, более известному под довольно неблагозвучной, но очень меткой аббревиатурой RAT (в переводе с английского «крыса»). По своей сути «ратники» — это привычные средства удалённого доступа и администрирования, но работающие на злоумышленников. Основное отличие заключается в том, что атакуемый пользователь не должен заподозрить, что на его машине хозяйничает кто-то другой.

Изначально троян TgRat, написанный для ОС Windows, был выявлен в 2022 году. Он представлял собой небольшую вредоносную программу, предназначенную для выгрузки данных с конкретной скомпрометированной машины. Не так давно вирусные аналитики компании «Доктор Веб» обнаружили его собрата, адаптированного для работы в ОС Linux.

Запрос на расследование инцидента информационной безопасности поступил в нашу вирусную лабораторию от компании, предоставляющей услуги хостинга. Антивирус Dr.Web обнаружил подозрительный файл на сервере одного из клиентов. Им оказался дроппер трояна, то есть программа, которая предназначена для установки вредоносного ПО на атакуемый компьютер. Этот дроппер распаковывал в систему троян Linux.BackDoor.TgRat.2.

Этот троян также создавался для атаки на конкретные компьютеры: при запуске он сверяет хеш имени машины со строкой, вшитой в тело трояна. Если значения не совпадают, TgRat завершает свой процесс. А в случае успешного запуска троян подключается к сети и реализует довольно необычную схему взаимодействия со своим управляющим сервером, в качестве которого выступает Telegram-бот.

Мессенджер Telegram довольно часто используется во многих компаниях в качестве корпоративного средства общения. Поэтому нет ничего удивительного в том, что злоумышленники могут эксплуатировать его в качестве канала для управления вредоносным ПО и кражи конфиденциальной информации: популярность программы и рутинность трафика к серверам Telegram способствуют маскировке вредоносного ПО в скомпрометированной сети.

Управление трояном осуществляется через закрытую группу в мессенджере, к которой подключен Telegram-бот. Используя мессенджер, злоумышленники могут отдавать команды трояну: например, скачать со скомпрометированной системы файлы, сделать снимок экрана, удалённо выполнить команду или загрузить файл, используя вложения.

В отличие от своего собрата для Windows, код этого трояна был зашифрован шифром RSA, а для выполнения команд использовался интерпретатор bash, что позволяло выполнять целые скрипты в рамках одного сообщения. Каждый экземпляр трояна имеет свой собственный идентификатор — таким образом злоумышленники могли отправлять команды нескольким ботам, подключив их все к одному чату.

Данная атака, несмотря на её необычность в плане выбора схемы взаимодействия между трояном и управляющим сервером, может быть выявлена при внимательном анализе сетевого трафика: обмен данными с серверами Telegram может быть характерным для пользовательских компьютеров, но никак не для сервера в локальной сети.

Индикаторы компрометации