Играете в Clash? А иранские хакеры используют это название, чтобы взламывать компьютеры
Как вредоносные программы притворяются обычными чатами в телефоне.
Иногда вредоносную кампанию выдаёт не сложный код, а мелкая деталь. В новой активности группы MuddyWater такой деталью стали имена Telegram-ботов.
Специалисты Synaptic изучили образец вредоносной программы LampoRAT, который уже описывали ранее. Программа работает как удалённый троян и управляется через Telegram. После заражения система подключается к заранее заданному токену бота, получает команды от оператора, выполняет их в командной строке Windows и отправляет результат обратно через тот же мессенджер. Такой канал выглядит как обычный зашифрованный трафик к Telegram и почти не выделяется на фоне легитимной активности.
Внимание привлекло имя одного из ботов – stager_51_bot. В атакующих инструментах «stager» обычно обозначает начальный модуль, который закрепляется в системе и подтягивает дополнительные компоненты. Число 51 в названии выглядело как часть последовательности.
Дальше проверили простую гипотезу. Взяли шаблон stager_X_bot и перебрали значения от 1 до 100, проверяя, какие имена уже заняты. Для этого даже не понадобился доступ к Telegram API – хватило веб-интерфейса мессенджера, который показывает существующие имена.
В результате обнаружили сразу несколько ботов с похожими именами: stager_55_bot, stager_56_bot, stager_58_bot и дальше вплоть до stager_64_bot. Часть из них продолжает работать.
Когда посмотрели на идентификаторы ботов Telegram, картина оказалась не такой простой. Идентификаторы обычно растут со временем, но в этом случае порядок не совпадает с номерами в именах. Боты с «большими» числами не всегда новее. Такой разнобой намекает, что нумерацию выбирали не по дате создания, а по внутренней логике оператора или инструмента.
Не меньше странностей оказалось в отображаемых именах. Среди них встречаются случайные слова вроде Olalampo, Nikoro или foltinao, названия игр вроде HayDay и Clash, а также максимально общие варианты вроде apple, bot или active. Переводчики упорно относят вымышленные слова к одному и тому же языку, хотя реального смысла у них нет.
Прямых доказательств, что все найденные боты принадлежат одной кампании MuddyWater, пока нет. Связь строится на совпадении шаблонов имён и времени активности, поэтому выводы остаются на уровне гипотезы.
Тем не менее сам подход интересен. Вместо охоты за отдельными индикаторами компрометации можно отслеживать повторяющиеся шаблоны. В случае LampoRAT уже сейчас можно заранее блокировать обращения к известным идентификаторам ботов через API Telegram или отслеживать подозрительные запросы к сервису.