.webp){kind=link}
TgRat, trojan yang dikendalikan Telegram, ditemukan menyerang server Linux dalam upaya mencuri data dari sistem yang disusupi.
Pada tahun 2022, trojan TgRat pertama kali teridentifikasi.
Meskipun versi asli trojan itu kecil dan dirancang untuk Windows, versi terbarunya menggunakan aplikasi perpesanan Telegram yang banyak digunakan untuk menargetkan server Linux.
“Trojan dikendalikan melalui grup Telegram pribadi yang terhubung dengan bot. Dengan menggunakan messenger, penyerang dapat mengeluarkan perintah kepada trojan.
Ia dapat mengunduh berkas dari sistem yang disusupi, mengambil tangkapan layar, menjalankan perintah dari jarak jauh, atau mengunggah berkas sebagai lampiran”, Dr. Web berbagi dengan Cyber Security News.
Bagaimana Trojan yang Dikendalikan Telegram Mencuri Data?
Mengingat popularitas aplikasi Telegram dan lalu lintas rutin ke servernya, bukan hal yang aneh bagi pelaku ancaman untuk menggunakannya sebagai vektor untuk mendistribusikan malware dan mencuri data sensitif.
Hal ini karena mudah untuk menyembunyikan malware pada jaringan yang disusupi. Trojan tersebut dibuat untuk menargetkan komputer tertentu; saat dijalankan, ia memverifikasi hash nama komputer dengan string yang disematkan.
Jika nilainya tidak cocok, TgRat menghentikan proses. Jika tidak, ia membuat koneksi jaringan dan menggunakan pendekatan khusus untuk berkomunikasi dengan server kontrolnya, yaitu bot Telegram.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Penyerang dapat memberikan perintah kepada trojan menggunakan messenger. Trojan dapat mengunggah data sebagai lampiran, mengambil tangkapan layar, menjalankan perintah dari jarak jauh, dan mengunduh file dari sistem yang diretas.
Penyerang mengeluarkan perintah ke beberapa bot, tidak seperti rekan mereka di Windows. Peneliti menyatakan bahwa trojan ini menggunakan interpreter bash untuk menjalankan perintah dan dienkripsi menggunakan RSA, yang memungkinkan eksekusi seluruh skrip dalam satu pesan.
Karena setiap contoh trojan memiliki ID yang berbeda, penyerang dapat memerintahkan beberapa bot untuk bergabung dalam ruang obrolan yang sama dengan mengirimkan perintah ke masing-masing bot.
Meskipun metode interaksi trojan dan server kontrol tidak biasa, serangan dapat diidentifikasi dengan memeriksa lalu lintas jaringan secara cermat.
Meskipun pertukaran data dengan server Telegram mungkin biasa terjadi pada komputer pengguna, hal itu tidak lazim dilakukan pada server jaringan lokal.
Korban kesulitan mengidentifikasi infeksi karena adanya mekanisme kontrol khusus yang memungkinkan penyerang mengirimkan perintah ke sistem yang terinfeksi secara diam-diam.
Oleh karena itu, disarankan untuk memasang perangkat lunak antivirus pada setiap node jaringan lokal untuk mencegah infeksi.
you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access