SHA1-хеш:
- sha1: 4fb9519aaa4173314582ed336a7d307f0ea49a84
Описание
Троянская программа для ОС Linux с широкой функциональностью и возможностью дистанционного управления посредством Telegram-бота. Исходный код написан на языке Go и зашифрован шифром RSA. Бинарный файл упакован пакером UPX. Доставляется на скомпрометированную систему дроппером Linux.MulDrop.135.
Принцип действия
При инициализации троян сверяет хеш имени хоста, на котором он запущен, со вшитым в тело трояна значением. Если значения не совпадают, троян прекращает свою работу. В случае успешного запуска он связывается со своим C2-сервером, в качестве которого выступает Telegram-бот, к которому троян подключается посредством вшитого прокси.
Артефактами активности вредоносного ПО являются:
| Артефакт | Значение |
|---|---|
| Токен Telegram-бота | 6397562704:AAEt1UAWUcWcJb3Q5MQo8ZYF0NvJAUTk7S0 |
| ID чата | -1001913285180 |
| Адрес прокси-сервера | hххp://172.24.173[.]28:3128 |
После установки соединения троян принимает от С2 описанные ниже команды, предваряемые прямым слешем:
| Имя команды | Аргументы | Описание |
|---|---|---|
| v | нет |
Возвращает оператору строку следующего формата "Version: [%s]\\nHostname: [%s]\\nExeName: [%s]\\nExepath: [%s]\\nParams: [%s]\\nExeDir: [%s]\\nWD: [%s" "]\\nArch: [%s]\\nPID: [%d]\\nChatId: [%d]" |
| bind | ID_чата | Привязывает бота к группе |
| isbind | Проверяет, привязан ли бот к группе | |
| kill | PID | Завершает сессию трояна с соответствующим PID |
| kill_except | PID | Завершает все сессии трояна, кроме той, PID которой указан в качестве аргумента |
| dwl | имя_файла | Скачивает файл со скомпрометированного компьютера |
| update | нет | Заменяет себя на файл с именем new.bak, сохраняет себя в old-<время>.bak |
| cr | строка_с_командой | Исполняет команду в отдельном процессе, конкатенируя к ней "& exit" |
| cpr | строка_с_командой | Исполняет команду в отдельном процессе |
| cpri | <PID> <строка_с_командой> | Исполняет команду в отдельном процессе в сессии с указанным PID |
| sleep | <PID> <количество_секунд> | Приостанавливает сессию трояна с указанным PID |
| sleep_except | <PID> <количество_секунд> | Приостанавливает все сессии трояна кроме той, PID которой указан в качестве аргумента |
| restart | PID | Перезапускает бота для сессий с указанным PID |
| wget | <URL> <имя_файла> | Скачивает файл, доступный по URL, и сохраняет его под указанным именем |
| token | <токен_api> <ID _группы> [PID] | Меняет токен для сессий с указанным PID |
| screenshot | PID | Делает скриншот сессии с указанным PID и отправляет с именем в формате "display-<PID>_<COUNT>_<HEIGHT>x<WIDTH>.png" |
| start | нет | Создает контекст командной оболочки для команд /c и /ci |
| c | команда | Исполняет команду |
| ci | <PID> <команда> | Исполняет команду для сессии с указанным PID |
| reset | нет | Пересоздает контекст командной оболочки для команд /c и /ci |
Также поддерживается отправка файла на зараженную машину через вложения в чате. Файл сохраняется на удалённом хосте под своим изначальным именем. Для сохранения файла в конкретной директории путь до неё указывается в теле сообщения.
