Специалисты компании "Доктор Веб" обнаружили Linux-версию трояна TgRat, который управляется ботом Telegram. RAT обычно используются для удаленного доступа и администрирования, но в данном случае они применяются злоумышленниками без ведома пользователя. Изначально обнаруженный в 2022 году троян для Windows, версия для Linux была недавно идентифицирована вирусными аналитиками компании "Доктор Веб".
TgRat Trojan
Обнаружение трояна произошло после того, как в вирусную лабораторию "Доктор Веб" поступило сообщение об инциденте информационной безопасности от хостинг-провайдера. Подозрительный файл, обнаруженный на сервере одного из клиентов, оказался троянским дроппером, который устанавливал в систему троян Linux.BackDoor.TgRat.2.
После запуска троян TgRat сверяет хэш имени машины со строкой, встроенной в его тело. Если совпадения нет, троян завершает свой процесс. Однако при успешном запуске он подключается к сети и устанавливает необычный способ связи со своим управляющим сервером, который представляет собой Telegram-бота.
Управление трояном осуществляется через закрытую группу в мессенджере Telegram, где злоумышленники отдают трояну команды. Эти команды включают загрузку файлов, создание скриншотов, выполнение удаленных команд и загрузку файлов через вложения. В отличие от своего Windows-аналога, код трояна зашифрован с помощью RSA-шифрования и использует интерпретатор bash для выполнения команд, что позволяет выполнять целые скрипты в одном сообщении.
Indicators of Compromise
IPv4 Port Combinations
- 172.24.173.28:3128
SHA256
- 2c573abfa5f989511f669b8ece80aecd4362cba6041841fff2c008dea81e9378
- a9880d0a284c18b7d6b1ded302e4bef3d91e665af8b2ff0984ed6fbd1fd5091e
- b6686c28c84ae5d98909eaf165321138eb24402b6e9aa24fd36f116897e5da4a
- c6839e261e0d018f20c70eb65dd7cf6d82efb7e842cba8d8580649826d665343
