В арсенале киберпреступников появился новый инструмент для удалённого контроля, который отличается от классических угроз использованием популярного мессенджера в качестве канала управления. Вредоносная программа под названием ResokerRAT представляет собой полнофункциональный троянец удалённого доступа, который вместо традиционного сервера командования и управления использует API ботов Telegram. Это позволяет злоумышленнику, находящемуся в любой точке мира, незаметно получать доступ к заражённому компьютеру, следить за действиями пользователя и выполнять различные команды. Подобный подход к организации C2-канала усложняет обнаружение аномалий в сетевом трафике, так как легитимный трафик мессенджера смешивается с вредоносными командами.
Описание
Анализ функционала показывает, что ResokerRAT ориентирован на длительное и скрытное присутствие в системе с последующим расширением привилегий. После проникновения троянец первым делом пытается получить права администратора, перезапуская себя с соответствующими привилегиями. В случае успеха это открывает злоумышленнику широкие возможности для манипуляций. Для обеспечения закрепления в системе используется стандартный метод добавления записи в автозагрузку реестра Windows. При этом программа активно противодействует анализу и обнаружению: она проверяет, не запущена ли под отладчиком, и принудительно завершает процессы известных утилит для мониторинга системы, таких как Process Explorer или Process Hacker.
Одной из наиболее интересных и агрессивных особенностей является вмешательство в работу пользователя на низком уровне. ResokerRAT устанавливает глобальный перехватчик нажатий клавиш, что позволяет ему блокировать критически важные комбинации. Пользователь может оказаться в ловушке, не имея возможности вызвать диспетчер задач сочетанием Ctrl+Shift+Esc, переключиться между окнами с помощью Alt+Tab или даже заблоковать доступ к меню "Пуск" через клавишу Windows. Это не только мешает обнаружению вредоноса, но и ограничивает возможности пользователя по противодействию. Эксперты из компании K7 Labs детально проанализировали образец, выделив его ключевые возможности.
Управление троянцем осуществляется через простые команды в Telegram. Арсенал включает в себя возможность сделать скриншот экрана жертвы, отключить или включить диспетчер задач, а также загрузить и запустить дополнительные вредоносные модули с удалённого сервера. Особое внимание привлекают команды, манипулирующие настройками контроля учётных записей Windows. Так, команда "/uac-min" не отключает UAC полностью, что потребовало бы перезагрузки и могло бы вызвать подозрения, а тонко ослабляет его, отключая запросы согласия и защищённый рабочий стол. Это позволяет другим вредоносным программам беспрепятственно получать повышенные привилегии в фоновом режиме.
Использование публичных и легитимных сервисов, таких как Telegram, для управления ботнетом - растущий тренд в киберпреступной среде. Это позволяет атакующим обойти многие традиционные средства защиты, построенные на блокировке подозрительных доменов или IP-адресов. Трафик к API Telegram выглядит как обычная фонововая активность приложения. Более того, бот может быть быстро создан, а в случае обнаружения и блокировки одного токена - так же быстро заменён на другой, обеспечивая устойчивость инфраструктуры. Все данные перед отправкой кодируются, что дополнительно маскирует их содержимое.
Появление ResokerRAT демонстрирует, как современные угрозы комбинируют сложные техники уклонения от обнаружения с простыми и доступными каналами управления. Риску подвержены как обычные пользователи, которые могут стать жертвой фишинга, так и сотрудники организаций, чьи рабочие станции могут быть скомпрометированы для последующей разведки или установки более опасного payload. Защита от подобных угроз требует комплексного подхода, включающего не только антивирусное ПО, но и обучение цифровой гигиене, сегментацию сетей и мониторинг аномальной активности, особенно исходящих соединений к публичным облачным сервисам.
Индикаторы компрометации
IPv4
- 149.154.166.110
URLs
- https://api.telegram.org/bot8679995457:AAHiI3UDWmJaj4etgI4fAZK_wo4KJfhXLWc/getUpdates?offset=1&timeout=5
- https://api.telegram.org/bot8679995457:AAHiI3UDWmJaj4etgI4fAZK_wo4KJfhXLWc/sendMessage?chat_id=8558596408&text=??%20%3Cb%3ERESOKER%20ACTIVE%3C/b%3E%0A%0ACommands:%0A/screenshot%20-%20take%20screenshot%0A/download%20[URL]%20[name]%20-%20download%20file%0A/block_taskmgr%20-%20block%20Task%20Manager%0A/unblock_taskmgr%20-%20unblock%20Task%20Manager%0A/startup%20-%20add%20to%20startup%0A/uac_min%20-%20set%20UAC%20to%20minimum%20(silent%20mode)%0A/uac_max%20-%20set%20UAC%20to%20maximum%20(secure%20mode)%0A/help%20-%20help&parse_mode=HTML
- https://api.telegram.org/bot8679995457:AAHiI3UDWmJaj4etgI4fAZK_wo4KJfhXLWc/sendMessage?chat_id=8558596408&text=??%20RESOKER%20activated%20(hidden%20mode)&parse_mode=HTML
- https://api.telegram.org/bot8679995457:AAHiI3UDWmJaj4etgI4fAZK_wo4KJfhXLWc/sendMessage?chat_id=8558596408&text=??%20Taking%20screenshot...&parse_mode=HTML
MD5
- 7a1d6c969e34ea61b2ea7a714a56d143
