Специалисты компании F6 выявили новую хакерскую группировку Telemancon, чья активность прослеживается с февраля 2023 года. Основной целью злоумышленников стали российские промышленные предприятия, в частности, организации машиностроительного сектора и компании, связанные с производством военной техники.
Технический арсенал и методы атак
В ходе исследования эксперты обнаружили, что группировка использует специально разработанный инструментарий, включающий дроппер TMCDropper (изначально написанный на C++, позже переработанный на C#) и бэкдор TMCShell. Злоумышленники распространяют вредоносное ПО через фишинговые письма с вложенными архивами, содержащими исполняемые файлы.
Особенности работы вредоносного ПО
Бэкдор TMCShell демонстрирует продвинутые техники маскировки и коммуникации. Он взаимодействует с сервисом telegra.ph для получения адреса командного центра (C2), используя уникальный алгоритм генерации URL на основе текущей даты. Для защиты от перехвата управления применяется механизм цифровой подписи и проверка серверных сертификатов.
Функциональные возможности TMCShell
После успешного подключения к C2-серверу через порт 2022, бэкдор способен выполнять различные команды в системе жертвы, включая сбор информации о пользователях, сетевых настройках и группах безопасности. Особую опасность представляет возможность удаленного выполнения произвольных PowerShell-скриптов с передачей результатов на управляющий сервер.
Связь с другими APT-группами
Аналитики отмечают схожесть тактик Telemancon с методами работы группировок Core Werewolf и Gamaredon. В частности, наблюдается сходство в выборе целей, использовании документов-приманок и техниках сокрытия C2-инфраструктуры. Однако имеющихся данных недостаточно для однозначной атрибуции, что требует дальнейшего наблюдения за активностью группировки.
Появление новой APT-группы Telemancon подчеркивает растущую угрозу для промышленного сектора и необходимость усиления мер кибербезопасности. Организациям рекомендуется внедрять многоуровневую защиту, проводить регулярное обучение сотрудников по вопросам информационной безопасности и поддерживать актуальность систем обнаружения и предотвращения вторжений.
