Обнаружен вредонос-шпион с управлением через Telegram

Олеся Афанасьева 06 Декабря 2022 - 17:13

...

Обнаружен вредонос-шпион с управлением через Telegram

Вредоносная программа TgRAT пишется под конкретный компьютер, каналами управления становятся закрытые чаты в Telegram. Зловреда обнаружили эксперты Positive Technologies. Вирус умеет скачивать файлы, делать скриншоты экрана и “усыплять” устройство.

Во многих компаниях Telegram используют в качестве корпоративного мессенджера. Киберпреступники придумали, как использовать Telegram API для скрытого управления бэкдорами и выгрузки конфиденциальной информации.

Новый вредонос TgRAT проникает на компьютер и сразу проверяет имя узла, на котором он запущен. Если данные не совпадает со значением, вшитым в тело программы, TgRAT завершает работу. К такому выводу пришли аналитики компании Positive Technologies, изучив исходный код нового вируса.

Анализ показал, что файл с полезной нагрузкой представляет собой небольшой RAT, который использует Telegram в качестве контрольного сервера. Им является закрытая группа в мессенджере, коммуникация осуществляется с помощью Telegram API.

Токен и ID чата для коммуникации могут быть считаны из файла с именем token.sys, который должен лежать в каталоге с вредоносом. В случае если файла нет, программа использует те токен и ID, которые содержатся в коде.

Установив соединение, вредонос получает имена команд и аргументы (при необходимости).

Эксперты обращают внимание на формат хранения и исполнения команд. На этапе инициализации необходимых параметров, переменных и библиотек, TgRAT формирует структуру данных определенного вида, идентичную map.

Эта структура хранит, кроме служебных полей, указатели на функции, которые будут отвечать за выполнение команд. Она используется для маппинга имени команды, которое приходит с управляющего сервера (Telegram-чата) на функцию.

Вирус-шпион выполняет команды:

получение информации о зараженном компьютере;
подключение (bind) к определенной группе в Telegram, служебное сообщение об ошибке подключения;
самозавершение (kill);
сохранение сообщения в виде файла;
самообновление;
запуск шелла;
выполнение команды в шелле и сохранение результата в виде файла;
запуск процесса;
сон в течение определенного времени;
перезапуск бота;
скачивание файла;
снимок экрана.

Несмотря на то, что хакеры используют легитимные протоколы для управления своими инструментами и для выгрузки данных, эту атаку можно легко выявить при минимальном уровне мониторинга трафика, отмечают эксперты.

При этом, говорится в сообщении Positive Technologies, на момент проведения расследования исходный код TgRAT отсутствовал в публичных источниках, и пока вредонос может не детектироваться антивирусными средствами.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 19 Января 2026 - 20:04

САКУРА Корпорации Сетевая безопасность Системы контроля сетевого доступа Системы защиты от утечек конфиденциальной информации (DLP)Системы мониторинга событий безопасности Системы мониторинга эффективности сотрудников Средства управления информационной безопасностью Системы реагирования и управления инцидентами (IRP) ИТ-Экспертиза (IT-Expertise)

САКУРА 2.37.2 получила поддержку Wayland и Astra Linux МКЦ

Компания «ИТ-Экспертиза» выпустила обновлённую версию программного комплекса информационной безопасности САКУРА 2.37.2. В релизе разработчики сосредоточились на расширении функциональности, повышении стабильности и доработке инструментов контроля рабочих мест.

Одним из ключевых изменений стала поддержка протокола Wayland в Linux. Это расширило список совместимых дистрибутивов и позволило сделать работу агентов более стабильной и менее ресурсоёмкой — что особенно важно для рабочих станций с ограниченными аппаратными возможностями.

Кроме того, агент САКУРА теперь совместим с Astra Linux в режиме мандатного контроля целостности (МКЦ). Благодаря этому программный комплекс можно использовать в средах с повышенными требованиями к безопасности — в том числе в корпоративных и государственных инфраструктурах, где необходим дополнительный уровень защиты.

В системе отчётности появилось небольшое, но практичное улучшение: в отчётах об установленном ПО добавлен фильтр «архивности» рабочих мест. Он позволяет исключать устаревшие или неактуальные данные, упрощая аналитику и помогая точнее оценивать потребности в лицензиях.

Разработчики также поработали над внутренними механизмами. Был повышен надёжность и скорость передачи метрик с агента на сервер, за счёт чего система быстрее реагирует на нарушения и сокращает время между обнаружением проблемы и её устранением. Доработана интеграция с OpenVPN: агент теперь получает имя VPN-пользователя из сертификата, что упрощает управление доступом для удалённых сотрудников и делает его более прозрачным.

Ещё одно заметное изменение касается пользовательских уведомлений. В версии 2.37.2 реализован единый механизм оповещений на рабочих станциях с использованием кросс-платформенного фреймворка Fyne. Это позволило унифицировать внешний вид уведомлений в Windows, macOS и Linux и снизить зависимость от нативных библиотек.

В обновлении также исправлен ряд ошибок. В частности, устранена проблема, из-за которой мог игнорироваться параметр уведомления пользователей при нарушении правил контроля. Исправлены сбои при восстановлении VPN-соединений через КриптоПро NGate, а также некорректное отображение пользовательских уведомлений для собственных правил контроля.

Группа компаний «ИТ-Экспертиза» занимается разработкой и внедрением решений в сфере информационной безопасности, а программный комплекс САКУРА входит в Реестр отечественного ПО. Новый релиз продолжает развитие продукта в сторону более гибкой работы с Linux-средами, удалённым доступом и высокозащищёнными ИТ-ландшафтами.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »