Exaramel

Το εργαλείο hacking του Exaramel αποτελεί απειλή, η οποία εντοπίστηκε πρόσφατα σε μία από τις εκστρατείες της ομάδας hacking της TeleBots. Κατά τη μελέτη της απειλής, οι ερευνητές κακόβουλου λογισμικού παρατήρησαν ότι το malware του Exaramel μοιάζει μάλλον με ένα άλλο εργαλείο hacking στο οπλοστάσιο του ομίλου TeleBots Industroyer. Η ομάδα hacking της TeleBots ήταν πολύ δραστήρια τα τελευταία χρόνια και έχει κάνει πολλά πρωτοσέλιδα με τις απειλητικές εκστρατείες της. Η πιο φημισμένη λειτουργία της πραγματοποιήθηκε το 2015 και τους εμπλέκονταν, προκαλώντας σάρωση που δεν είχε επιτευχθεί ποτέ με κακόβουλο λογισμικό. Ο όμιλος TeleBots είναι και αυτός πίσω από το περίφημο Petya Ransomware , που μαστίζει τον ιστό για λίγο. Η απειλή θα κλειδώσει το MBR (Master Boot Record) του σκληρού δίσκου στο στοχευμένο σύστημα.

Παράδοση ως δευτερεύον ωφέλιμο φορτίο

Το κακόβουλο λογισμικό του Exaramel είναι Trojan backdoor και αναπτύσσεται ως malware δευτέρου σταδίου. Ένα άλλο από τα εργαλεία hacking του ομίλου TeleBots βοηθάει την απειλή Exaramel να παραδοθεί στον οικοδεσπότη, περνώντας πέρα από τα μέτρα ασφαλείας στον υπολογιστή. Το ωφέλιμο φορτίο πρώτου σταδίου, το οποίο βοηθά το malware του Exaramel να θέσει σε κίνδυνο το σύστημα, φροντίζει επίσης να εντοπίζει οποιοδήποτε λογισμικό ή εργαλεία, τα οποία μπορεί να συνδέονται με το σφάλμα κατά του κακόβουλου λογισμικού. Εάν τα αποτελέσματα των δοκιμών είναι θετικά, η επίθεση θα σταματήσει. Αυτό θα κάνει λιγότερο πιθανό οι ερευνητές κακόβουλου λογισμικού να πάρουν τα χέρια τους στο backdoor του Exaramel και να το τεμαχίσουν. Εάν όμως η επίθεση συνεχιστεί, τα αρχεία του backdoor του Exaramel θα εγχυθούν στο φάκελο των Windows. Στη συνέχεια, η απειλή θα διασφαλίσει ότι θα ξεκινήσει μια νέα υπηρεσία που ονομάζεται 'wsmprovav' κατά την εκκίνηση του συστήματος. Αυτή η υπηρεσία περιγράφεται ως "Windows Checked AV", η οποία έχει σκοπό να κάνει να φαίνεται σαν μια νόμιμη υπηρεσία και όχι ως μέρος κακόβουλης λειτουργίας.

Δυνατότητες

Το κλειδί μητρώου των Windows αποθηκεύει όλες τις διαμορφώσεις του κακόβουλου λογισμικού Exaramel, το οποίο δεν είναι μια πολύ κοινή τεχνική. Το Trojan backdoor ενημερώνεται για τη διαδρομή αποθήκευσης των αρχείων που έχουν μεταφορτωθεί, τις λεπτομέρειες του διακομιστή μεσολάβησης, τα δεδομένα σχετικά με τον διακομιστή C & C (Command & Control) και επιτρέπει την απειλή να εκτελέσει έναν βασικό έλεγχο Web. Ο Trojan backdoor του Exaramel είναι ικανός:

• Εκτέλεση σεναρίων VBS.
• Γράφοντας αρχεία στο τοπικό σύστημα.
• Εκτέλεση λογισμικού.
• Μεταφόρτωση αρχείων στη διαδρομή αποθήκευσης που αναφέρθηκε προηγουμένως.
• Εκτέλεση εντολών κελύφους.

Η ομάδα hacking της TeleBots θα χρησιμοποιεί συχνά τον Trojan backdoor του Exaramel σε συμφωνία με τα εργαλεία hacking CredRaptor και Mimikatz . Οι συντάκτες του κακόβουλου λογισμικού Exaramel έχουν επίσης αναπτύξει μια έκδοση της απειλής που γράφτηκε στη γλώσσα προγραμματισμού Go, η οποία επιτρέπει στο εργαλείο hacking να στοχεύει διακομιστές και συστήματα Linux.