СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.10.2025
#Dev#ИБ#ИИ#Облака

Троян RAT Nursultan: нацелен на геймеров, использует Telegram C2

Троян RAT Nursultan: нацелен на геймеров, использует Telegram C2

Исследователи обнаружили новый троян удалённого доступа (RAT), ориентированный в первую очередь на игровое сообщество — особенно на пользователей Minecraft. Вредоносный модуль маскируется под легитимный софт под названием «Клиент Nursultan» и использует Telegram Bot API как канал командования и контроля (C2), что позволяет злоумышленникам удалённо отдавать команды и вытягивать украденные данные.

Как действует вредоносное ПО

RAT реализован на Python и упакован с помощью PyInstaller, что объясняет его внушительный размер — 68,5 МБ. Исполняемый файл с SHA256 847ef096af4226f657cdd5c8b9c9e2c924d0dbab24bb9804d4b3afaf2ddf5a61 при установке создаёт запись автозапуска в реестре Windows, чтобы обеспечить постоянную работу после перезагрузки:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Конструкция вредоноса кроссплатформенная: благодаря использованию кроссплатформенных библиотек RAT может функционировать на Windows, Linux и macOS, однако ряд функций реализован специфично для Windows.

Ключевые возможности и векторы похищения данных

  • Кража токенов аутентификации Discord и последующее профилирование системы — через команды, приходящие в Telegram‑канал C2.
  • Сбор скриншотов и захват изображения с веб‑камеры по командам /screenshot и /camera, отправка собранных данных злоумышленнику через Telegram API.
  • Установка постоянства на Windows путём изменения реестра (см. ключ автозапуска выше).
  • Мультиплатформенная основа позволяет распространять вредоносный файл среди пользователей различных ОС, что расширяет зону поражения.

Почему Telegram‑основанный C2 затрудняет обнаружение

Использование Telegram Bot API для управления и сбора данных создаёт дополнительные сложности для обнаружения: зашифрованные, легитимные на вид каналы Telegram могут маскировать вредоносную активность, а трафик взаимодействий с Telegram часто считается «нормальным» в корпоративных и домашних сетях.

«Зависимость на платформе Телеграм для связи C2 создаёт определённые трудности для распознавания, так как легитимные зашифрованные каналы могут маскировать вредоносную активность.»

Социальная инженерия: игроки как мишень

Атакующие используют известный образ клиента Minecraft для повышения доверия жертв — классическая стратегия социальной инженерии. Маскировка под популярный игровой клиент повышает вероятность установки вредоносного ПО пользователями, ищущими моды, клиенты или улучшенные сборки для игры.

Риски и рекомендации

Полученные данные подчёркивают необходимость усиления видимости сетевого трафика и контроля за взаимодействием с зашифрованными платформами. Рекомендации по снижению рисков:

  • Мониторинг и фильтрация исходящих соединений к Telegram и подозрительным бот‑интерфейсам; настройка IDS/IPS на обнаружение необычных паттернов общения с Telegram Bot API.
  • Контроль целостности и анализ больших исполняемых файлов, упакованных с PyInstaller — обращать внимание на аномально большие размеры и необычное поведение при запуске.
  • Ограничение прав пользователей: запрет установки софта из ненадёжных источников, контроль за запуском исполняемых файлов и скриптов Python.
  • Защита облачных и коммуникационных аккаунтов: включение MFA для Discord и других сервисов, мониторинг активности токенов и подозрительных входов.
  • Антивирусная и EDR‑защита с фокусом на обнаружение кражи токенов, перехвата веб‑камер и создания скриншотов.
  • Обучение пользователей: предупреждать игровое сообщество о рисках загрузки клиентов из ненадёжных источников и распознавании признаков социальной инженерии.

Вывод

Новый Python‑RAT, маскирующийся под «Клиент Nursultan», представляет собой пример целевой кампании против игрового сообщества, комбинирующей кроссплатформенную инфраструктуру, использование популярных мессенджеров в качестве C2 и социальную инженерию. Для эффективного обнаружения и предотвращения подобных угроз организациям и пользователям следует усилить мониторинг сетевого трафика, внедрить меры контроля исходящих соединений и повысить цифровую гигиену среди игроков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: