Когда CERT-UA в начале 2024-го зафиксировал волну атак через Signal по украинским госструктурам, стало понятно: мессенджеры - уже не «вспомогательный канал доставки». Это полноценный вектор первичного доступа для государственных APT-групп. Причём вектор, который большинство SOC-ов попросту не мониторит.
Разберём конкретные кампании, TTP по матрице MITRE ATT&CK и детектирующие сигнатуры, которые можно внедрить уже сегодня.
Почему мессенджеры стали приоритетным вектором для APT
Русскоязычные публикации о фишинге через мессенджеры почти целиком крутятся вокруг массового мошенничества - поддельные розыгрыши, звонки от «службы безопасности банка», фейковые вакансии. Это всё актуально, но за этим шумом теряется главное: мессенджеры стали оружием APT-групп, работающих на государственные разведки.Причина на поверхности. Корпоративная почта за последние годы обросла слоями защиты - SPF, DKIM, DMARC, песочницы, DLP. Мессенджеры живут на личных устройствах, вне периметра корпоративного мониторинга. По данным ряда ИБ-вендоров, количество детектируемых вредоносных QR-кодов (часть которых нацелена именно на мессенджеры) может превышать тысячи в сутки.
Для security-инженера тут критичный момент: фишинг через мессенджеры - это не «юзер кликнул на ссылку в WhatsApp». Это Spearphishing via Service (T1566.003, Initial Access) - целенаправленная доставка нагрузки через сервис обмена сообщениями, где атакующий заранее изучил жертву, собрал контекст и подготовил правдоподобный предлог.
APT-кампании через Signal: разбор реальных атак
APT28 и эксплуатация Signal-чатов
Одна из наиболее задокументированных кампаний - атака APT28 (она же Fancy Bear, Sofacy) на украинские правительственные структуры. Детали раскрыл CERT-UA, а в мае 2025-го дополнительно разобрал Bitdefender.Цепочка атаки устроена так. Атакующие использовали скомпрометированные или подставные аккаунты Signal для доставки вредоносной нагрузки. Выбор Signal не случаен - жертвы воспринимали зашифрованный мессенджер как «безопасную» среду и расслаблялись куда сильнее, чем при получении файлов по почте. А если на заборе будет написано end-to-end encryption - значит, безопасно, да?
Многоступенчатая цепочка заражения включала загрузку DLL-библиотеки и WAV-файла с встроенным шеллкодом. В качестве промежуточного C2 использовался Covenant - open-source фреймворк на .NET. Конечная нагрузка - ранее недокументированный бэкдор BeardShell на C++. Он выполняет зашифрованные PowerShell-скрипты (T1059.001, Execution) и сливает логи выполнения на C2-сервер через Icedrive API - легитимный облачный сервис. Для сетевых детектов это боль: трафик к облачному хранилищу сам по себе не аномалия.
Персистентность - через COM-hijacking в реестре Windows (T1546.015, Component Object Model Hijacking). Техника позволяет вредоностной программе переживать перезагрузки без создания подозрительных файлов на диске. Тихо, чисто, элегантно.
Параллельно обнаружили компонент SlimAgent - он специализируется на скрытом захвате скриншотов через нативные API Windows. Скриншоты шифруются локально AES+RSA перед отправкой. Налицо многоступенчатая стратегия сбора разведданных: SlimAgent - пассивный наблюдатель, BeardShell - исполнительный движок.
Маппинг на MITRE ATT&CK для этой кампании:
| Этап | Техника | ID |
|---|---|---|
| Первичный доступ | Spearphishing via Service | T1566.003 |
| Выполнение | User Execution: Malicious File | T1204.002 |
| Выполнение | PowerShell | T1059.001 |
| Закрепление | COM Hijacking | T1546.015 |
| C2 | Легитимный облачный API (Icedrive) | Living off trusted services |
Российские операторы и фишинг Signal-доменов
По данным Google Threat Intelligence Group (GTIG), с 2024 года выявлен российский кластер кибершпионажа, эксплуатирующий поддельные Signal-домены для атак на предприятия оборонно-промышленного комплекса. Конкретные домены в публичном отчёте не раскрыты полностью, но сам факт фиксации GTIG подтверждает: Signal стал системным вектором для целевого фишинга в зонах конфликтов.Здесь особенно интересна атака через механизм Linked Devices. Атакующий генерирует QR-код, якобы приглашающий в группу или подтверждающий верификацию. На деле сканирование этого QR-кода привязывает устройство атакующего к аккаунту жертвы как дополнительное (linked device). С этого момента атакующий читает все входящие сообщения в реальном времени - без малвари, без эксплуатации уязвимостей. Просто QR-код.
Нюанс: атака через Linked Devices требует, чтобы жертва отсканировала QR-код именно через функцию «Link a new device» внутри приложения Signal (не через системную камеру). Социальная инженерия строится на том, чтобы убедить жертву пройти именно по этому пути - под видом верификации аккаунта или присоединения к «защищённой группе».
Это не уязвимость Signal. Приложение работает штатно. Это социальная инженерия, эксплуатирующая доверие пользователя к QR-кодам и непонимание механизма привязки устройств.
Целевой фишинг в Telegram: от кражи сессий до C2-каналов
Telegram как канал доставки для UAC-0184
Группа UAC-0184 (также отслеживается как Hive0156) - threat actor, связываемый CERT-UA с атаками на украинские военные и госструктуры; публичная атрибуция к конкретной государственной разведке не раскрыта. Группа, по имеющимся наблюдениям, мигрировала между каналами доставки - от электронной почты к Signal и далее к Telegram и Viber.По данным 360 Threat Intelligence Center, актуальная цепочка атаки UAC-0184 через мессенджеры:
- Доставка ZIP-архива через мессенджер - внутри LNK-файлы с иконками Word/Excel (красивый фантик для пользователя)
- При запуске LNK - отображение отвлекающего документа и параллельное скачивание второго ZIP-архива через PowerShell
- Многоступенчатая загрузка Hijack Loader в память с использованием DLL side-loading и module stomping для обхода EDR
- Финальная нагрузка - Remcos RAT, внедрённый в легитимный процесс
Критично для детекции: атака полностью проходит без файлов на завершающих стадиях. Remcos RAT загружается в память процесса
chime.exe без записи на диск. Если ваш EDR не умеет в memory scanning - у вас проблема.Telegram как C2-инфраструктура APT
Отдельная история - использование Telegram Bot API как канала управления малварью. По отчёту Kaspersky ICS-CERT за Q4 2024, группы Shadow и Twelve (по данным Kaspersky, делят инструменты и инфраструктуру) использовали Telegram для шпионажа за сотрудниками атакованных организаций и давления на них.С точки зрения сетевого анализа, трафик к
api.telegram.org из корпоративной сети - не аномалия сама по себе. Но в APT-операциях Telegram Bot API используется для:- Получения команд от оператора (polling через
getUpdates) - Эксфильтрации данных (отправка файлов через
sendDocument) - Передачи скриншотов и кейлогов
Кража сессий Telegram: техническая анатомия
Помимо использования Telegram как канала доставки, APT-группы атакуют сами аккаунты - чтобы потом вести целевой фишинг от лица жертвы. Механизм кражи сессий специфичен для десктопных клиентов.Telegram Desktop хранит данные сессии в директории
tdata. Если в клиенте не установлен Local Passcode - кража этой директории даёт атакующему полный доступ к аккаунту. Без пароля, без OTP-кода. Просто утянул папку - и ты в аккаунте. При включённом Local Passcode содержимое tdata шифруется производным ключом, и для расшифровки нужен сам пасскод или кейлоггер. Стилеры семейств RedLine, Raccoon, Lumma (упомянутые в отчёте Kaspersky ICS-CERT как активные в Q4 2024) целенаправленно собирают содержимое tdata.Путь по умолчанию в Windows:
Код:
%APPDATA%\Telegram Desktop\tdataTelegram.exe. Вот YARA-правило для детекции попытки эксфильтрации tdata:
Код:
rule tdata_exfil_attempt {
meta:
description = "Detects access to Telegram tdata for session theft"
author = "Codeby TI"
strings:
$path1 = "Telegram Desktop\\tdata" ascii wide nocase
$path2 = "tdata\\key_datas" ascii wide
$arch = { 50 4B 03 04 } // ZIP header
condition:
($path1 or $path2) and $arch
}tdata оказывается внутри ZIP-архива - типичный паттерн стилеров, которые пакуют украденное перед отправкой на C2. Но честно скажу: условие «ZIP-заголовок + строка пути» будет давать ложные срабатывания. Для endpoint-детекции надёжнее использовать Sysmon EventID 11 (FileCreate) или EventID 10 (ProcessAccess) на обращения к %APPDATA%\Telegram Desktop\tdata процессами, отличными от Telegram.exe.Социальная инженерия в мессенджерах: APT против массового фишинга
Между массовым фишингом и APT-операциями через мессенджеры - пропасть, которую русскоязычные публикации обычно не раскрывают.Массовый фишинг работает по воронке: отправить 100 000 сообщений, получить 100 кликов, монетизировать 10. APT-операция - снайперский выстрел. Группа Charming Kitten (иранская APT, она же APT35), по данным CYFIRMA за Q1 2024, перед отправкой вредоносной ссылки выстраивала многонедельную переписку с целью через поддельную платформу вебинаров, имитирующую Rasanah International Institute for Iranian Studies. Недели переписки - ради одного клика. И только после установления доверия доставлялся бэкдор BASICSTAR через RAR-архив с LNK-файлом.
Техника Multi-Persona Impersonation - когда несколько подконтрольных аккаунтов создают иллюзию общения с разными людьми из одной организации - отлично ложится на мессенджеры. В Telegram это выглядит так: «коллега» рекомендует жертве связаться с «экспертом», который уже является оператором атаки. Координированная работа нескольких аккаунтов, и жертва даже не подозревает, что разговаривает с одним и тем же человеком.
Spear phishing через мессенджеры: QR-коды и deep links
Unit 42 детально описывает механизм атак через QR-коды с in-app deep links - специальными URL-схемами, которые мобильное приложение интерпретирует как запрос на авторизацию или привязку устройства:tg://login?token=<base64-encoded token>- авторизация новой сессии Telegram Desktop (QR сканируется встроенным сканером мобильного Telegram, не системной камерой)- Signal Linked Devices - привязка нового устройства к аккаунту Signal (QR сканируется через функцию «Linked Devices» внутри приложения)
https://wa.me/settings/linked_devices#- настройки WhatsApp
tg://join для групп) ОС может перенаправить запрос в приложение. Но для привязки устройства (Signal Linked Devices, Telegram Desktop QR login) QR-код сканируется изнутри самого мессенджера - вся атака строится на том, чтобы убедить жертву открыть функцию привязки и отсканировать QR-код атакующего.По данным Unit 42, атакующие дополнительно используют QR code shorteners (qrco.de, me-qr.com, qrs.ly) - сервисы, делающие QR-код динамическим. Оператор может поменять URL назначения после генерации кода и отслеживать статистику сканирований. Даже security-осведомлённый пользователь, проверяющий превью URL перед сканированием, видит лишь короткую ссылку сервиса-посредника. Ловушка, по сути, невидимая.
Методы детекции для SOC
Сетевой уровень
Мониторинг обращений к Telegram Bot API с хостов, где Telegram-клиент не установлен, - базовый, но рабочий индикатор. В SIEM это реализуется правилом на DNS-запросы кapi.telegram.org от серверных сегментов сети.Для Signal-фишинга ключевой индикатор - HTTP-запросы к доменам, имитирующим Signal (подстроки
signal-, sgnl, signal. в нехарактерных TLD). Ловится через прокси-логи или DNS-логи.Обращения к облачным хранилищам (Icedrive, Mega, pCloud), используемым как C2, - дополнительный сигнал при корреляции с другими индикаторами.
Endpoint-уровень
Ключевые точки мониторинга для Windows-хостов:- Процессы, обращающиеся к
%APPDATA%\Telegram Desktop\tdata(кромеTelegram.exe) - Создание LNK-файлов в
%TEMP%с последующим запуском PowerShell (паттерн UAC-0184) - COM-hijacking через модификацию ключей реестра
HKCU\Software\Classes\CLSID\(паттерн BeardShell) - Запуск
mshta.exeилиwscript.exeиз мессенджера - индикатор выполнения вредоносных вложений
Аудит Telegram и Signal
Для корпоративных пользователей Telegram:- Регулярная проверка активных сессий через «Настройки - Устройства» и завершение неизвестных
- Включение облачного пароля (двухфакторной аутентификации) - без него перехват SMS-кода достаточен для захвата аккаунта
- Запрет на автоскачивание файлов в настройках приложения
- Проверка Linked Devices - любое неизвестное устройство в списке означает компрометацию
- Включение Registration Lock (PIN-код регистрации) - защита от перерегистрации номера
- Настройка исчезающих сообщений для чувствительных переписок - ограничение окна доступа при компрометации
Защита мессенджеров: рекомендации для security-инженеров
Стандартные советы «не переходите на подозрительные ссылки» против APT не работают. Вот что реально помогает на уровне организации:Сегментация устройств. Рабочие мессенджеры - только на управляемых устройствах с MDM. Личные мессенджеры на личных устройствах не должны содержать рабочих чатов. Звучит очевидно, но я лично видел, как большинство утечек через мессенджеры начинается с размытой границы personal/corporate.
Мониторинг DNS. Telegram Bot API (
api.telegram.org), Signal API, ссылки QR-сокращателей - всё это должно логироваться и коррелироваться в SIEM. Не блокировать поголовно, а детектировать аномалии: обращение с сервера, ночной трафик, нехарактерные объёмы.Threat Intelligence feeds. Добавить в фиды TI домены, связанные с Signal-фишингом и Telegram-фишингом. По данным GTIG, российские операторы регистрируют домены с подстроками, имитирующими Signal - эти IoC публикуются в отчётах CERT-UA и передаются через MISP.
Awareness с фокусом на мессенджеры. Стандартные тренинги по фишингу покрывают email. Добавьте сценарии: «коллега» в Telegram просит срочно открыть файл; QR-код на «корпоративном портале» для привязки устройства; invite-ссылка в Signal-группу от «руководителя проекта». Потренировавшись в контролируемой среде, сотрудники будут реагировать на реальную атаку совсем иначе.
Политика минимизации attack surface. Если подразделение не использует Signal - его не должно быть на рабочих устройствах. Каждый установленный мессенджер - дополнительный вектор для Spearphishing via Service (T1566.003).
Вопрос к читателям
В кампании APT28 через Signal конечная нагрузка BeardShell закреплялась через COM-hijacking вHKCU\Software\Classes\CLSID\. Мониторите ли вы эту ветку реестра в своём SIEM и через какой механизм - Sysmon EventID 13 с фильтром на TargetObject или нативный Windows Audit с Object Access? Если используете Sysmon, поделитесь фрагментом конфигурации <RegistryEvent> для детекции модификаций CLSID - интересно сравнить покрытие.
Последнее редактирование модератором:
