Positive Technologies обнаружила вредонос с управлением через Telegram

Компания Positive Technologies обнаружила вирус-шпион с управлением через Telegram. Вредоносная программа TgRAT использует закрытые чаты в Telegram в качестве каналов управления. Она была выявлена в ходе расследования, проведенного командой по реагированию на инциденты ИБ компании Positive Technologies. 

d4099d092b1a536647b9e697abe4a912.png

Вредонос создан целенаправленно под конкретные устройства, с которых злоумышленники планируют похитить конфиденциальную информацию. TgRAT первым делом проверяет имя узла, на котором он запущен. При совпадении имени со значением, добавленным в тело программы, вредоносное ПО завершает работу. Подробнее вирус описан тут.

Во время проведения расследования исходный код TgRAT отсутствовал в публичных источниках, и вредонос может не находиться антивирусными средствами. Для его обнаружения специалисты Positive Technologies рекомендуют использовать инструменты мониторинга трафика и обращать внимание на исходящий трафик с внутренних серверов корпоративной инфраструктуры на Telegram-серверы. Также необходимо следить за потоками данных внутри сети (возможно выявить сетевые туннели и нестандартное общение между серверами) и все равно использовать антивирусные средства защиты на всех узлах  инфраструктуры. 

fb26159b940e32e4d8ae4afa9525d6c8.pngДенис Гойденко

Руководитель отдела реагирования на угрозы информационной безопасности, Positive Technologies

«Во многих компаниях Telegram используют в качестве корпоративного мессенджера, что подталкивает злоумышленников к разработке средств эксплуатации Telegram API для скрытого управления бэкдорами и выгрузки конфиденциальной информации. Один из наиболее эффективных подходов к выявлению подобных каналов утечки — использование антивирусов на всех узлах, включая серверы, и применение систем глубокого анализа трафика (NTA), средств выявления угроз безопасности и реагирования на них на конечных точках (EDR). Кроме того, трафик с внутренних серверов корпоративной инфраструктуры на Telegram-серверы — это уже подозрительный процесс, который должен насторожить службу безопасности». 

Также 5 декабря 2022 года Positive Technologies проанализировала кибератаки в третьем квартале 2022 года. По результатам исследования компания установила, что число атак увеличилось на 10% по сравнению со вторым кварталом. Был отмечен существенный рост использования вредоносного ПО для атак на операционную систему Linux (с 12% во втором квартале до 30% в третьем) и рост популярности наборов для фишинговых атак.

© Habrahabr.ru