Exaramel

Exaramel hacking værktøjet er en trussel, som blev opdaget i en af kampagnerne i TeleBots hacking gruppen for nylig. Når de studerer truslen, bemærkede malware-forskere, at Exaramel-malware snarere ligner et andet hackingværktøj i arsenalet til TeleBots-gruppen kaldet Industroyer. TeleBots hacking-gruppen har været meget aktiv i de senere år og har kommet mange overskrifter med sine truende kampagner. Dens mest berømte operation fandt sted i 2015 og involverede dem, hvilket forårsagede en blackout, som aldrig før var blevet opnået med malware. TeleBots- gruppen er også den bag den berygtede Petya Ransomware , der plagede Internettet i et stykke tid. Truslen låser MBR (Master Boot Record) på harddisken på det målrettede system.

Leveres som sekundær nyttelast

Exaramel malware er en bagdør Trojan, og den er implementeret som en anden fase malware. Et andet af TeleBots-gruppens hackingværktøjer hjælper Exaramel-truslen med at blive leveret til værten ved at snige den forbi sikkerhedsforanstaltningerne på computeren. Nyttelasten i første fase, som hjælper Exaramel-malware med at kompromittere systemet, sørger også for at få øje på software eller værktøjer, der kan være forbundet med malware-fejlfinding. Hvis testresultaterne er positive, stoppes angrebet. Dette vil gøre det mindre sandsynligt, at malware-forskere får deres hånd på Exaramel-bagdøren og dissekerer den. Hvis angrebet fortsætter, injiceres filerne i Exaramel-bagdøren imidlertid i Windows-mappen. Derefter vil truslen sørge for, at en ny service kaldet 'wsmprovav' lanceres ved systemstart. Denne service er beskrevet som 'Windows Checked AV', som er beregnet til at få den til at virke som en legitim service og ikke en del af en ondsindet handling.

Capabilities

Windows Registry Key gemmer alle konfigurationer af Exaramel malware, hvilket ikke er en meget almindelig teknik. Bagdør Trojan informeres om de uploadede filers lagersti, proxydetaljer, data angående C&C (Command & Control) server, og det gør det muligt for truslen at udføre en grundlæggende webcheck. Exaramel bagdør Trojan er i stand til:

• Udfører VBS-scripts.
• Skrivning af filer til det lokale system.
• Udfører software.
• Upload af filer til den tidligere nævnte lagersti.
• Udfører shell-kommandoer.

TeleBots-hackinggruppen vil ofte bruge Exaramel-bagdør Trojan i unisont med CredRaptor og Mimikatz hacking-værktøjer. Forfatterne af Exaramel malware har også udviklet en version af truslen skrevet på Go programmeringssprog, som tillader hacking værktøjet at målrette Linux-servere og -systemer.