Знайомтеся з трояном TgRat: колись відома тим, що націлена на пристрої Windows, нова версія націлена на Linux і запускає свій командний центр через популярну програму обміну повідомленнями Telegram.
Експерти з кібербезпеки компанії Dr. Web виявили складний троян віддаленого доступу (RAT) на основі Linux під назвою TgRat, який використовує вмілу маску: ним керують через приватний чат Telegram.
Це зловмисне програмне забезпечення, яке дозволяє кіберзлочинцям дистанційно керувати зараженими машинами, викрадати дані та виконувати команди, спочатку було виявлено у версії Windows два роки тому, але тепер адаптоване для цільових середовищ Linux.
Троян TgRat працює шляхом підключення до бота Telegram, метод, який використовує переваги широкого використання популярної платформи обміну повідомленнями в корпоративних налаштуваннях. Цей унікальний механізм контролю дозволяє зловмисникам таємно видавати команди зараженій системі, що ускладнює виявлення зараження жертвами.
Після зараження TgRat перевіряє, чи працює на цільовій машині, порівнюючи хеш імені комп’ютера з вбудованим рядком. Якщо значення не збігаються, зловмисне програмне забезпечення самозакривається, уникаючи виявлення. Якщо воно збігається, троян підключається до бота Telegram і чекає подальших інструкцій від своїх операторів.
Рисунок 1. На знімку екрана показано віддалену взаємодію із системою Linux за допомогою виконання команди для створення файлу, запису в нього та читання його вмісту, підтверджуючи успішне виконання команди та отримання вихідних даних.
Після встановлення TgRat може виконувати різноманітні шкідливі дії, зокрема завантажувати файли, робити знімки екрана та віддалено запускати команди. Його дизайн дозволяє виконувати цілі сценарії за допомогою одного повідомлення, підвищуючи його ефективність і скритність.
Згідно з публікацією в блозі Dr. Web, відкриття сталося після того, як хостинг-провайдер повідомив про підозрілу активність, що спонукало антивірусну лабораторію «Доктор Веб» провести розслідування. Вони виявили троян-дропер, який встановив шкідливе програмне забезпечення TgRat на сервері, що призвело до подальшого аналізу його можливостей.
Експерти попереджають, що використання Telegram для управління та керування робить цей троян особливо невидимим. Регулярний трафік до серверів Telegram може легко замаскувати зловмисні повідомлення, ускладнюючи зусилля з виявлення для команд безпеки мережі.
Хоча троян TgRat є складною загрозою, спеціалісти з кібербезпеки можуть ідентифікувати його активність, відстежуючи мережевий трафік. Незвичайний обмін із серверами Telegram із локальних мережевих пристроїв може сигналізувати про потенційний компроміс, що дозволить своєчасно втручатися.
Контрольований Telegram троян TgRat націлений на сервери Linux