Хабы: Блог компании Доктор Веб, Информационная безопасность
Специалисты компании «Доктор Веб» выявили Linux-версию известного трояна TgRat, применяемого для целевых атак на компьютеры. Одной из примечательных особенностей данного трояна является то, что он управляется посредством Telegram-бота.
Это вредоносное ПО принадлежит к типу троянов удалённого доступа, более известному под довольно неблагозвучной, но очень меткой аббревиатурой RAT (в переводе с английского «крыса»). По своей сути «ратники» — это привычные средства удалённого доступа и администрирования, но работающие на злоумышленников. Основное отличие заключается в том, что атакуемый пользователь не должен заподозрить, что на его машине хозяйничает кто-то другой.
Изначально троян TgRat, написанный для ОС Windows, был выявлен в 2022 году. Он представлял собой небольшую вредоносную программу, предназначенную для выгрузки данных с конкретной скомпрометированной машины. Не так давно вирусные аналитики компании «Доктор Веб» обнаружили его собрата, адаптированного для работы в ОС Linux.
Запрос на расследование инцидента информационной безопасности поступил в нашу вирусную лабораторию от компании, предоставляющей услуги хостинга. Антивирус Dr.Web обнаружил подозрительный файл на сервере одного из клиентов. Им оказался дроппер трояна, то есть программа, которая предназначена для установки вредоносного ПО на атакуемый компьютер. Этот дроппер распаковывал в систему троян Linux.BackDoor.TgRat.2.
Этот троян также создавался для атаки на конкретные компьютеры: при запуске он сверяет хеш имени машины со строкой, вшитой в тело трояна. Если значения не совпадают, TgRat завершает свой процесс. А в случае успешного запуска троян подключается к сети и реализует довольно необычную схему взаимодействия со своим управляющим сервером, в качестве которого выступает Telegram-бот.
Читать далее