Во время одного из расследований команда по реагированию на инциденты Positive Technologies обнаружила малварь TgRAT, которая использует закрытые чаты в Telegram в качестве каналов управления.
По данным исследователей, вредонос создан под конкретные устройства, с которых злоумышленники планируют похитить конфиденциальную информацию. Так, в самом начале своей работы малварь проверяет имя узла, на котором запущена. Если имя не совпадает со значением, жестко вшитым в тело программы, TgRAT завершает свою работу.
Известно, что для проникновения и перемещения по сети жертв злоумышленники применяли как уже известные вредоносные программы, в частности Impacket, Mimikatz, инструменты для туннелирования сетевого трафика (Chisel, dnscat2, Gost и так далее), так и новые, не особенно распространенные вредоносы — небольшие RAT (remote access trojan), использующие Telegram API для выгрузки данных.
Анализ показал, что файл с полезной нагрузкой TgRAT представляет собой небольшой RAT, использующий Telegram в качестве управляющего сервера. Сервером является закрытая группа в мессенджере, коммуникация осуществляется с помощью Telegram API (библиотека github.com/wrwrabbit/telegram-bot-api-go). Хотя эксперты пишут, что наблюдали несколько модификаций этой малвари, отличающихся архитектурой, функциональность у всех них была идентичная.
Токен и ID чата для коммуникации могут быть считаны из файла с именем token.sys, который должен лежать в каталоге с вредоносом. В случае если файла нет, малварь использует те токен и ID, которые содержатся в коде.
Эксперты пишут, что TgRAT может выполнять следующие типы команд:
- получение информации о зараженном компьютере;
- подключение (bind) к определенной группе в Telegram, служебное сообщение об ошибке подключения;
- самозавершение (kill);
- сохранение сообщения в виде файла;
- самообновление;
- запуск шелла;
- выполнение команды в шелле и сохранение результата в виде файла;
- запуск процесса;
- сон в течение определенного времени;
- перезапуск бота;
- скачивание файла;
- снимок экрана.
На момент проведения расследования исходный код TgRAT отсутствовал в публичных источниках, и на первых порах он может не детектироваться антивирусными средствами. Для его обнаружения эксперты рекомендуют использовать инструменты мониторинга трафика и обращать внимание на исходящий трафик с внутренних серверов корпоративной инфраструктуры на Telegram-серверы.
Кроме этого, в компании советуют наблюдать за потоком данных внутри сети (при таком подходе можно выявлять сетевые туннели и нестандартное общение между серверами), покрывать антивирусными средствами защиты все узлы в инфраструктуре и использовать песочницы.
«Во многих компаниях Telegram используют в качестве корпоративного мессенджера, что подталкивает злоумышленников к разработке средств эксплуатации Telegram API для скрытого управления бэкдорами и выгрузки конфиденциальной информации. Один из наиболее эффективных подходов к выявлению подобных каналов утечки — использование антивирусов на всех узлах, включая серверы, и применение систем глубокого анализа трафика (NTA) и песочниц (Sandbox), средств выявления угроз безопасности и реагирования на них на конечных точках (EDR). Кроме того, трафик с внутренних серверов корпоративной инфраструктуры на Telegram-серверы — это уже подозрительный процесс, который должен насторожить службу безопасности», — комментирует Денис Гойденко, руководитель отдела реагирования на угрозы информационной безопасности в Positive Technologies.