Telegram Kontrollü TgRat, Verileri Sızdırmak İçin Linux Sunucularına Saldırıyor

Telegram tarafından kontrol edilen bir trojan olan TgRat’ın, tehlikeye atılmış bir sistemden veri çalmak amacıyla Linux sunucularına saldırdığı keşfedildi.

2022 yılında TgRat trojan’ı ilk kez tespit edildi.

Truva atının orijinal versiyonu küçük ve Windows için tasarlanmış olsa da son versiyonu, Linux sunucularını hedef almak için yaygın olarak kullanılan mesajlaşma uygulaması Telegram’ı kullanıyor.

“Trojan, botun bağlı olduğu özel bir Telegram grubu aracılığıyla kontrol ediliyor. Saldırganlar, mesajlaşmayı kullanarak trojana komutlar gönderebilir.

Dr. Web, Cyber ​​Security News’e yaptığı açıklamada, “Bu, tehlikeye atılmış bir sistemden dosya indirebilir, ekran görüntüsü alabilir, uzaktan bir komutu çalıştırabilir veya bir dosyayı ek olarak yükleyebilir” dedi.

Telegram’ın Kontrol Ettiği Truva Atı Verileri Nasıl Çalıyor?

Telegram uygulamasının popülaritesi ve sunucularına gelen düzenli trafik göz önüne alındığında, tehdit aktörlerinin bunu kötü amaçlı yazılımları dağıtmak ve hassas verileri çalmak için bir vektör olarak kullanması alışılmadık bir durum değildir.

Bunun nedeni, kötü amaçlı yazılımın tehlikeye atılmış bir ağda gizlenmesinin kolay olmasıdır. Truva atı belirli bilgisayarları hedef alacak şekilde yapılır; başlatıldığında, gömülü bir dizeyle bilgisayar adının karmasını doğrular.

Değerler uyuşmuyorsa, TgRat işlemi sonlandırır. Uymuyorsa, bir ağ bağlantısı kurar ve kontrol sunucusu olan bir Telegram botuyla iletişim kurmak için tuhaf bir yaklaşım kullanır.

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide

Saldırganlar, haberciyi kullanarak trojana komutlar verebilir. Verileri ek olarak yükleyebilir, ekran görüntüleri alabilir, uzaktan komutlar çalıştırabilir ve hacklenmiş bir sistemden dosyalar indirebilir.

Saldırganlar, Windows muadillerinin aksine, birden fazla bota komut verir. Araştırmacılar, bu trojanın komutları çalıştırmak için bash yorumlayıcısını kullandığını ve RSA kullanılarak şifrelendiğini, böylece tüm betiklerin tek bir mesajda yürütülmesine izin verdiğini belirtti.

Her trojan örneğinin farklı bir kimliği olduğundan, saldırganlar her birine komut göndererek birden fazla bota aynı sohbet odasına katılmaları talimatını verebilirdi.

Truva atı ve kontrol sunucusunun etkileşim yöntemi alışılmadık olsa da, ağ trafiği yakından incelendiğinde saldırı tespit edilebiliyor.

Telegram sunucuları ile veri alışverişi kullanıcı bilgisayarları için olağan bir durum olsa da, yerel ağ sunucuları için bu durum alışılmış bir durum değildir.

Saldırganların saldırıya uğramış sisteme sessizce komutlar göndermesine olanak tanıyan bu özel kontrol mekanizması nedeniyle, kurbanların enfeksiyonu tespit etmesi zorlaşıyor.

Bu nedenle, enfeksiyonu önlemek için her yerel ağ düğümüne antivirüs yazılımı yüklenmesi önerilir.

you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access