Doctor Web 分析师已经发现了著名的 TgRat 木马的 Linux 版本,该木马用于有针对性的攻击。
该恶意软件的显着特征之一是它由 Telegram 电报机器人控制。
TgRat 最初是为 Windows 编写的,于 2022 年被发现。
它是一个为特定设备创建的小型恶意程序,攻击者计划从中窃取机密信息。
随后研究人员表示,TgRat 使用 Telegram 作为控制服务器。
服务器是Messenger中的一个封闭组,并且使用 Telegram API 完成通信。
github.com/wrwrabbit/telegram-bot-api-go正如 Doctor Web 现在报道的那样,在对该事件的调查过程中,应一家提供托管服务的匿名公司的要求,发现了适用于 Linux 的 TgRat 版本。
该公司的反病毒软件在其中一个客户端的服务器上检测到一个可疑文件。
该文件原来是在目标系统上解压 TgRat ( Linux.BackDoor.TgRat.2 ) 的特洛伊木马植入程序。
新版本的恶意软件也是为了攻击特定的机器而创建的:当它启动时,它会使用嵌入在木马主体中的字符串来检查机器名称的哈希值。
如果值不匹配,TgRat 将终止其进程。
如果成功启动,该木马会连接到网络并与其控制服务器(即 Telegram 机器人)实施交互方案。
该木马通过Telegram 机器人所连接的信使中的封闭组进行控制。
使用 Messenger,攻击者可以向恶意软件发出命令。
例如,从受感染的系统下载文件、截取屏幕截图、远程执行命令或使用附件下载文件。
与 Windows 版本不同的是,该木马的代码通过RSA加密,并使用bash解释器执行命令,这使得在一条消息中执行整个脚本成为可能。
该特洛伊木马的每个实例都有自己的标识符,因此攻击者可以通过将它们全部链接到单个聊天来向不同的机器人发送命令。
研究人员指出,通过仔细分析网络流量可以检测到此类攻击。
通常用户在使用 Telegram(一种即时通讯软件)时,他们的电脑会通过网络与Telegram的服务器进行数据交换,这是很常见的事情。
但是,如果用户尝试与他们自己本地网络(比如家里或办公室的网络)上的服务器进行数据交换,这种情况就不那么常见了。
原文始发于微信公众号(网络研究观):利用 Telegram 电报感染 Linux 的木马
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论