Обнаружен вредонос-шпион с управлением через Telegram

Олеся Афанасьева 06 Декабря 2022 - 17:13

...

Обнаружен вредонос-шпион с управлением через Telegram

Вредоносная программа TgRAT пишется под конкретный компьютер, каналами управления становятся закрытые чаты в Telegram. Зловреда обнаружили эксперты Positive Technologies. Вирус умеет скачивать файлы, делать скриншоты экрана и “усыплять” устройство.

Во многих компаниях Telegram используют в качестве корпоративного мессенджера. Киберпреступники придумали, как использовать Telegram API для скрытого управления бэкдорами и выгрузки конфиденциальной информации.

Новый вредонос TgRAT проникает на компьютер и сразу проверяет имя узла, на котором он запущен. Если данные не совпадает со значением, вшитым в тело программы, TgRAT завершает работу. К такому выводу пришли аналитики компании Positive Technologies, изучив исходный код нового вируса.

Анализ показал, что файл с полезной нагрузкой представляет собой небольшой RAT, который использует Telegram в качестве контрольного сервера. Им является закрытая группа в мессенджере, коммуникация осуществляется с помощью Telegram API.

Токен и ID чата для коммуникации могут быть считаны из файла с именем token.sys, который должен лежать в каталоге с вредоносом. В случае если файла нет, программа использует те токен и ID, которые содержатся в коде.

Установив соединение, вредонос получает имена команд и аргументы (при необходимости).

Эксперты обращают внимание на формат хранения и исполнения команд. На этапе инициализации необходимых параметров, переменных и библиотек, TgRAT формирует структуру данных определенного вида, идентичную map.

Эта структура хранит, кроме служебных полей, указатели на функции, которые будут отвечать за выполнение команд. Она используется для маппинга имени команды, которое приходит с управляющего сервера (Telegram-чата) на функцию.

Вирус-шпион выполняет команды:

получение информации о зараженном компьютере;
подключение (bind) к определенной группе в Telegram, служебное сообщение об ошибке подключения;
самозавершение (kill);
сохранение сообщения в виде файла;
самообновление;
запуск шелла;
выполнение команды в шелле и сохранение результата в виде файла;
запуск процесса;
сон в течение определенного времени;
перезапуск бота;
скачивание файла;
снимок экрана.

Несмотря на то, что хакеры используют легитимные протоколы для управления своими инструментами и для выгрузки данных, эту атаку можно легко выявить при минимальном уровне мониторинга трафика, отмечают эксперты.

При этом, говорится в сообщении Positive Technologies, на момент проведения расследования исходный код TgRAT отсутствовал в публичных источниках, и пока вредонос может не детектироваться антивирусными средствами.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 21 Мая 2026 - 08:58

Неисправность оборудования Сбои оборудования Малый и средний бизнес Корпорации

На 42% объектов коммерческой недвижимости изношена телеком-инфраструктура

По данным исследования компании «Обит», на 42% объектов коммерческой недвижимости в России есть признаки износа сетевой инфраструктуры или её дублирования. На каждом пятом объекте выявлены серьёзные нарушения норм безопасности, прежде всего противопожарных.

Отчёт об исследовании оказался в распоряжении ComNews. Исследование проведено на основе анализа данных о телекоммуникационной инфраструктуре на 1000 объектах коммерческой недвижимости Москвы, Санкт-Петербурга и Казани, собранных за 2025 год.

Как показало исследование, на 42% объектов наблюдаются как минимум признаки износа телекоммуникационной инфраструктуры. На такой же доле объектов обнаружено её дублирование. На 20% площадок зафиксированы серьёзные нарушения норм безопасности, в первую очередь противопожарных требований.

Главной причиной такой ситуации авторы исследования называют отсутствие единого управления телекоммуникационной инфраструктурой. На половине объектов централизованного управления сетью нет. В итоге каждый арендатор часто управляет своим сегментом самостоятельно, без координации с владельцем объекта или управляющей компанией.

Из-за этого схемы подключения не всегда согласуются с инженерными службами, маркировка кабельной инфраструктуры выполняется лишь частично, а неиспользуемое оборудование не демонтируется. Это создаёт риски нарушения требований безопасности и может приводить к штрафам со стороны контролирующих органов.

В целом из-за неэффективного управления трудозатраты управляющих компаний могут достигать 1000 человеко-часов в год. В финансовом выражении упущенная выгода сопоставима с годовыми поступлениями как минимум от одного арендатора.

«При проведении административно-управленческого аудита на одном объекте мы насчитали шесть провайдеров, каждый – со своей логикой, серверной и ценником. Результат: кассы падают, камеры висят, арендаторы недовольны, а директор УК по наитию делает вид, что "это не наш контур ответственности". В итоге – простои, потери данных и нервная агония. По нашим оценкам, такие сбои съедают 1,5–2% чистого операционного дохода в год и напрямую снижают капитализацию объекта. Коллеги по цеху регулярно в отчётах по офисному и ретейл-рынку указывают: цифровая нестабильность снижает арендный спрос на 5–7%», – поделился наблюдениями управляющий партнёр консалтингово-девелоперской компании «Территория Дела» Денис Троценко.

«Бизнес-центры, коммерческие этажи жилой застройки и торговые комплексы, особенно построенные пять-десять лет назад, часто превращаются в "клетки Фарадея". Энергоэффективное остекление и монолитный бетон ухудшают сигнал, а помещения, выделенные под телеком-узлы, не соответствуют ни требованиям пожарной безопасности, ни задачам современного бизнеса. В таких условиях любой оператор вынужден строить сети поверх отделки, что и ведёт к нарушениям, зафиксированным в исследовании», – прокомментировал результаты вице-президент по развитию продуктов и работе с МСП «Ростелекома» Тимофей Абраменко.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!