IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

بدافزار TgRat با تلگرام به سرور‌های لینوکس حمله می‌کند

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir telegram controlled tgrat attacking linux 1
بدافزار TgRat، یک تروجان با کنترل از طریق تلگرام است که در حال حمله به سرور‌های لینوکس و در تلاش برای سرقت اطلاعات از یک سیستم در معرض خطر می‌باشد که به تازگی کشف شد است. تروجان TgRat در سال ٢٠٢٢، برای اولین‌بار شناسایی شد.

اگرچه نسخه اصلی تروجان کوچک بوده و برای ویندوز طراحی شده بود، اما آخرین نسخه از برنامه پیام‌رسانی پرکاربرد تلگرام برای هدف قرار دادن سرور‌های لینوکس استفاده می‌کند.

تروجان از طریق یک گروه خصوصی تلگرام که ربات به آن متصل است کنترل می‌شود. با استفاده از پیام‌رسان، مهاجمان می‌توانند دستوراتی را به تروجان صادر کنند.

این بدافزار می‌تواند فایل‌ها را از یک سیستم در معرض خطر دانلود کند، اسکرین شات بگیرد، فرمان را از راه دور اجرا کند یا فایل را به عنوان پیوست آپلود کند.

چگونه تروجان کنترل شده توسط تلگرام داده‌ها را سرقت می‌کند؟
با توجه به محبوبیت اپلیکیشن تلگرام و ترافیک منظم به سرور‌های آن، استفاده از آن برای عوامل تهدید به عنوان یک مسیر جهت توزیع بدافزار و سرقت داده‌های حساس، غیرعادی نیست.

این مسئله به این دلیل است که پنهان کردن بدافزار در یک شبکه در معرض خطر ساده است. تروجان برای هدف قرار دادن کامپیوتر‌های خاص ساخته شده است. بدافزار هنگام راه اندازی، هش نام رایانه را با یک استرینگ تعبیه شده تایید و شناسایی می‌کند.

اگر مقادیر مطابقت نداشته باشند، TgRat فرآیند را خاتمه می‌دهد. در غیر این صورت، یک اتصال شبکه برقرار می‌کند و از یک رویکرد خاص برای برقراری ارتباط با سرور کنترل خود، که یک ربات تلگرام است، استفاده می‌کند.

مهاجمان می‌توانند با استفاده از پیام‌رسان دستوراتی به تروجان بدهند. می‌تواند داده‌ها را به صورت پیوست آپلود کند، اسکرین شات بگیرد، دستورات را از راه دور اجرا کند و فایل‌ها را از یک سیستم هک شده دانلود نمایند.
takian.ir telegram controlled tgrat attacking linux 2takian.ir telegram controlled tgrat attacking linux 3
مهاجمان برخلاف همتایان ویندوزی خود، دستوراتی را برای چندین ربات صادر می‌کنند. محققان بیان کردند که این تروجان از مفسر bash برای اجرای دستورات استفاده می‌کند و با استفاده از RSA رمزگذاری شده است و امکان اجرای کل اسکریپت‌ها را در یک پیام واحد فراهم می‌کند.

از آنجایی که هر نمونه تروجان یک شناسه مجزا داشت، مهاجمان می‌توانستند با ارسال دستوراتی به هر یک از ربات‌ها، به چندین ربات دستور دهند تا به یک چت‌روم بپیوندند.

اگر چه روش تعامل تروجان و سرور کنترل غیرمعمول است، حمله را می‌توان با بررسی دقیق ترافیک شبکه شناسایی کرد.

در‌حالی‌که تبادل داده با سرور‌های تلگرام ممکن است برای رایانه‌های کاربر عادی باشد، اما برای سرور‌های شبکه محلی مرسوم نیست.

شناسایی آلودگی برای قربانیان چالش‌برانگیز است زیرا این مکانیسم کنترل ویژه به مهاجمان اجازه می‌دهد تا دستورات را بی‌صدا به سیستم در معرض خطر ارسال کنند. بنابراین، توصیه می‌شود برای جلوگیری از هرگونه آلودگی، نرم‌افزار آنتی ویروس را روی هر نود شبکه محلی نصب و مستقر کنید.

برچسب ها: TgRat, Telegram Bot, Trojan, Linux, لینوکس, Bot, Remote Access Trojan, RSA, cybersecurity, Bash, RAT, malware, تروجان, ربات, Telegram, جاسوسی سایبری, بدافزار, امنیت سایبری, جنگ سایبری, تلگرام, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل