Exaramel
Hackerský nástroj Exaramel je hrozba, která se nedávno objevila v jedné z kampaní hackerské skupiny TeleBots. Při zkoumání hrozby si badatelé malwaru všimli, že malware Exaramel je spíše podobný jinému hackerskému nástroji ve výzbroji skupiny TeleBots zvané Industroyer. Hackerská skupina TeleBots byla v posledních letech velmi aktivní a svými hrozícími kampaněmi získala řadu titulků. Její nejznámější operace proběhla v roce 2015 a zapojila je, čímž způsobila výpadek proudu, kterého dosud nebylo s malwarem dosaženo. Skupina TeleBots je také tím, kdo stojí za nechvalně známým Petya Ransomware , který chvíli trápil web. Tato hrozba by zamkla MBR (Master Boot Record) pevného disku v cílovém systému.
Dodává se jako sekundární užitečné zatížení
Malwar Exaramel je backdoor trojan a je nasazen jako malware druhé fáze. Další z hackerských nástrojů skupiny TeleBots pomáhá hrozbě Exaramelu doručit hostiteli tím, že se propašuje kolem bezpečnostních opatření v počítači. První fáze užitečného zatížení, které pomáhá škodlivému softwaru Exaramel kompromitovat systém, také zajistí nalezení jakéhokoli softwaru nebo nástrojů, které mohou souviset s laděním škodlivého softwaru. Pokud jsou výsledky testu pozitivní, útok bude zastaven. Díky tomu bude méně pravděpodobné, že by badatelé malwaru dostanou ruce na zadní vrátka Exaramel a pitvají je. Pokud útok pokračuje, budou soubory zadního vrátka Exaramel vloženy do složky Windows. Hrozba pak zajistí, že při spuštění systému bude spuštěna nová služba s názvem 'wsmprovav'. Tato služba je označována jako „Windows Checked AV", což má za cíl, aby vypadala jako legitimní služba a ne jako součást škodlivé operace.
Schopnosti
Klíč registru Windows ukládá všechny konfigurace malwaru Exaramel, což není příliš běžná technika. Backdoor Trojan je informován o cestě ukládání nahraných souborů, podrobnostech proxy, datech týkajících se serveru C&C (Command & Control) a umožňuje hrozbě provést základní webovou kontrolu. Backan Trojan Exaramel je schopen:
- Spouštění skriptů VBS.
- Zápis souborů do místního systému.
- Provádění softwaru.
- Nahrávání souborů na dříve uvedenou cestu k úložišti.
- Provádění příkazů prostředí.
Hackerská skupina TeleBots často používá backan Trojan Exaramel v souzvuku s hackerskými nástroji CredRaptor a Mimikatz . Autoři malwaru Exaramel také vyvinuli verzi hrozby napsanou v programovacím jazyce Go, která umožňuje hackerskému nástroji cílit na servery a systémy Linux.