Exaramel

Exaramel-hakkerointityökalu on uhka, joka havaittiin äskettäin yhdessä TeleBots-hakkerointiryhmän kampanjoissa. Tutkiessaan uhkaa, haittaohjelmatutkijat huomasivat, että Exaramel-haittaohjelma on melko samanlainen kuin toinen IndBestroyer-nimisen TeleBots-ryhmän arsenaalin hakkerointityökalu. TeleBots-hakkerointiryhmä on ollut erittäin aktiivinen viime vuosina ja on kirjoittanut monia otsikoita uhkaavilla kampanjoillaan. Sen tunnetuin operaatio toteutettiin vuonna 2015 ja siihen osallistui heitä, mikä aiheutti sähkökatkoksen, jota ei koskaan ollut aikaansaatu haittaohjelmien avulla. TeleBots- ryhmä on myös pahamaineisen Petya Ransomware -sivuston takana, joka vaivansi verkkoa hetkeksi. Uhka lukitsisi kiintolevyn MBR: n (Master Boot Record) kohdistetussa järjestelmässä.

Toimitetaan toissijaisena hyötykuormana

Exaramel-haittaohjelma on takaoven troijalainen, ja sitä käytetään toisen vaiheen haittaohjelmana. Toinen TeleBots-ryhmän hakkerointityökaluista auttaa Exaramel-uhan toimittamista isännälle hiomalla sen tietokoneen turvatoimien ohi. Ensimmäisen vaiheen hyötykuorma, joka auttaa Exaramel-haittaohjelmia vaarantamaan järjestelmän, varmistaa myös, että paikallaan kaikki ohjelmistot tai työkalut, jotka voivat olla yhteydessä haittaohjelmien virheenkorjaukseen. Jos testitulokset ovat positiivisia, hyökkäys keskeytetään. Tämän vuoksi on epätodennäköistä, että haittaohjelmatutkijat saavat kätensä Exaramel-takaoven päälle ja leikkaavat sen. Jos hyökkäys kuitenkin jatkuu, Exaramel-takaoven tiedostot lisätään Windows-kansioon. Sitten uhka varmistaa, että uusi palvelu nimeltä 'wsmprovav' käynnistetään järjestelmän käynnistyessä. Tätä palvelua kuvataan nimellä 'Windows Checked AV', jonka tarkoituksena on antaa se näyttää lailliselta palvelulta eikä osalta haitalliselta toiminnalta.

kyvyt

Windowsin rekisteriavain tallentaa kaikki Exaramel-haittaohjelmien kokoonpanot, mikä ei ole kovin yleinen tekniikka. Takaovi-troijalaiselle tiedotetaan ladattujen tiedostojen tallennuspolusta, välityspalvelimen yksityiskohdista, C&C (Command & Control) -palvelinta koskevista tiedoista, ja se mahdollistaa uhan suorittaa Web-perustarkastukset. Exaramel-takaoven troijalainen pystyy:

  • Suoritetaan VBS-skriptejä.
  • Tiedostojen kirjoittaminen paikalliseen järjestelmään.
  • Suoritetaan ohjelmistoja.
  • Tiedostojen lähettäminen aiemmin mainitulle tallennuspolulle.
  • Kuorikomentojen suorittaminen.

TeleBots-hakkerointiryhmä käyttäisi usein Exaramel-takaoven troijalaista yhdessä CredRaptor- ja Mimikatz- hakkerointityökalujen kanssa. Exaramel-haittaohjelman tekijät ovat myös kehittäneet Go-ohjelmointikielellä kirjoitetun uhkaversion, jonka avulla hakkerointityökalu voi kohdistaa Linux-palvelimiin ja -järjestelmiin.

Trendaavat

Eniten katsottu

Ladataan...