Positive Technologies обнаружила вредонос с управлением через Telegram
Компания Positive Technologies обнаружила вирус-шпион с управлением через Telegram. Вредоносная программа TgRAT использует закрытые чаты в Telegram в качестве каналов управления. Она была выявлена в ходе расследования, проведенного командой по реагированию на инциденты ИБ компании Positive Technologies.
Вредонос создан целенаправленно под конкретные устройства, с которых злоумышленники планируют похитить конфиденциальную информацию. TgRAT первым делом проверяет имя узла, на котором он запущен. При совпадении имени со значением, добавленным в тело программы, вредоносное ПО завершает работу. Подробнее вирус описан тут.
Во время проведения расследования исходный код TgRAT отсутствовал в публичных источниках, и вредонос может не находиться антивирусными средствами. Для его обнаружения специалисты Positive Technologies рекомендуют использовать инструменты мониторинга трафика и обращать внимание на исходящий трафик с внутренних серверов корпоративной инфраструктуры на Telegram-серверы. Также необходимо следить за потоками данных внутри сети (возможно выявить сетевые туннели и нестандартное общение между серверами) и все равно использовать антивирусные средства защиты на всех узлах инфраструктуры.
Денис ГойденкоРуководитель отдела реагирования на угрозы информационной безопасности, Positive Technologies
«Во многих компаниях Telegram используют в качестве корпоративного мессенджера, что подталкивает злоумышленников к разработке средств эксплуатации Telegram API для скрытого управления бэкдорами и выгрузки конфиденциальной информации. Один из наиболее эффективных подходов к выявлению подобных каналов утечки — использование антивирусов на всех узлах, включая серверы, и применение систем глубокого анализа трафика (NTA), средств выявления угроз безопасности и реагирования на них на конечных точках (EDR). Кроме того, трафик с внутренних серверов корпоративной инфраструктуры на Telegram-серверы — это уже подозрительный процесс, который должен насторожить службу безопасности».
Также 5 декабря 2022 года Positive Technologies проанализировала кибератаки в третьем квартале 2022 года. По результатам исследования компания установила, что число атак увеличилось на 10% по сравнению со вторым кварталом. Был отмечен существенный рост использования вредоносного ПО для атак на операционную систему Linux (с 12% во втором квартале до 30% в третьем) и рост популярности наборов для фишинговых атак.
