Компанія F6 виявила нову загрозливу APT-групу під назвою Telemancon, яка з лютого 2023 року проводить цілеспрямовані кібератаки на промислові підприємства. Основними цілями зловмисників стали машинобудівні компанії та підприємства військово-промислового комплексу.
Аналіз шкідливого програмного забезпечення
Дослідники виявили, що група використовує спеціалізований набір шкідливих інструментів, що включає два основних компоненти: дропер TMCDropper та бекдор TMCShell. Примітно, що дропер спочатку був розроблений на C++, але пізніше був переписаний на C#, що свідчить про постійне вдосконалення інструментарію зловмисників. Поширення малware відбувається через фішингові листи з архівами, що містять виконувані файли.
Технічні особливості бекдора TMCShell
Особливу увагу привертає складна архітектура бекдора TMCShell, який використовує передові методи приховування своєї присутності та комунікації. Програма застосовує сервіс telegra.ph для отримання адреси командного центру, генеруючи URL-адреси за допомогою унікального алгоритму на основі поточної дати. Додатковий рівень безпеки забезпечується через механізм цифрового підпису та верифікації серверних сертифікатів.
Функціональні можливості шкідливого ПЗ
Після встановлення з’єднання з командним сервером через порт 2022, TMCShell демонструє широкий спектр можливостей для компрометації системи. Бекдор здатний збирати детальну інформацію про користувачів, мережеві налаштування та політики безпеки. Критично небезпечною функцією є можливість віддаленого виконання PowerShell-скриптів з передачею результатів на керуючий сервер.
Зв’язки з іншими кіберзлочинними угрупованнями
Експертний аналіз виявив схожість тактик Telemancon з методами груп Core Werewolf та Gamaredon, особливо в контексті вибору цілей та технік маскування інфраструктури. Проте наявних доказів недостатньо для остаточного встановлення зв’язків між цими угрупованнями.
Поява Telemancon сигналізує про зростання рівня загроз для промислового сектору. Організаціям рекомендується впровадити комплексний підхід до кібербезпеки, включаючи регулярні тренінги персоналу, моніторинг мережевої активності та своєчасне оновлення систем захисту. Особливу увагу слід приділити захисту від фішингових атак та впровадженню систем виявлення та запобігання вторгненням (IDS/IPS).
