Новая угроза в киберпространстве: раскрыта хакерская группа Telemancon
В феврале 2025 года эксперты компании F6 обнародовали тревожные данные о появлении новой хакерской группы под названием Telemancon. Несмотря на то, что первые задокументированные операции этой группы датируются февралем 2023 года, ее активность до сих пор оставалась вне внимания широкой общественности. Основная цель злоумышленников — промышленные предприятия России, особенно в инженерном секторе, включая производителей военной техники.
Особенности используемых инструментов
Ключевой особенностью Telemancon является использование собственных вредоносных инструментов, получивших названия TMCDROPPER (dropper) и TMCSHELL (backdoor). Эти программы не просто вредоносные утилиты — они демонстрируют сложность и продуманность исполнения.
- TMCDROPPER — программа на C++, выполняющая предварительную проверку среды отладки перед развертыванием backdoor. После запуска в системе создаётся файл с полезной нагрузкой по пути %userprofile%ContactsVyecs.aozwu. Помимо этого, dropper вносит изменения в реестр Windows для обеспечения автозапуска через PowerShell.
- TMCSHELL — backdoor, извлекающий адрес сервера управления (C2) из сервиса https://telegra.ph. Для связи используется TCP-порт 2022 с применением привязки сертификата, что обеспечивает проверку подлинности сервера.
Интересно, что первоначальная версия TMCDROPPER разрабатывалась на C++, но позднее группа перешла на реализацию на C#, сохранив её исходную функциональность.
Механизмы работы вредоносного ПО
После запуска TMCDROPPER расшифровывает и загружает в память четыре модуля, применяя шифрование AES-256 в режиме CBC. Каждый модуль использует уникальный ключ, что значительно повышает уровень скрытности атак.
Backdoor TMCSHELL предназначен для получения и выполнения произвольных PowerShell-скриптов от сервера C2. Результаты выполнения команд возвращаются злоумышленникам в формате base64. Общение с командным сервером происходит циклически, с учётом определённых условий, таких как наличие процесса диспетчера задач Windows и время с момента запуска скрипта.
Стратегия и тактика атак
Анализ поведения _Telemancon_ указывает на высокую степень настойчивости и адаптивности, что позволяет предположить наличие долгосрочной стратегической цели. Данные операции демонстрируют сходства с действиями других известных групп, таких как Core Werewolf и Gamardon, однако методы реализации существенно отличаются.
Особое внимание заслуживает использование сервиса Telegra.ph для хранения адресов C2. Этот подход демонстрирует эволюцию атакующих методик, нацеленных на повышение анонимности и обход традиционных систем обнаружения. Такие технические решения значительно осложняют мониторинг и анализ вредоносной активности.
Неопределённость и необходимость дальнейшего наблюдения
Пока что точная принадлежность и связь Telemancon с другими угрозами остаются неясными. Первая гипотеза связывала эту группу со старыми объектами, но окончательное определение их места в ландшафте киберугроз ещё предстоит установить.
Эксперты компании F6 подчеркивают необходимость постоянного мониторинга новых тактик и техник группы, учитывая потенциальную опасность, которую она представляет для ключевых промышленных инфраструктур.
„Разработка собственных сложных инструментов и инновационный подход к управлению C2-инфраструктурой свидетельствуют о серьёзном уровне подготовки хакеров Telemancon,” — отмечают аналитики.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ операций хакерской группы Telemancon: новые угрозы промышленности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.