Exaramel

Prijetnja za hakiranje Exaramel predstavlja prijetnju koja je uočena nedavno u jednoj od kampanja hakerske grupe TeleBots. Tijekom proučavanja prijetnje, istraživači zlonamjernog softvera primijetili su da je zlonamjerni softver Exaramel prilično sličan drugom alatu za hakiranje u arsenalu TeleBots grupe pod nazivom Industroyer. Grupa za hakiranje TeleBots bila je vrlo aktivna posljednjih godina i svojim je prijetećim kampanjama donijela mnoge naslove. Njegova najpoznatija operacija dogodila se 2015. godine i uključila ih, uzrokujući nesvjest, kakvu nikada dosad nije postigao zlonamjerni softver. Grupa TeleBots također je ona koja stoji iza zloglasne Petye Ransomware , koja je neko vrijeme kugala o webu. Prijetnja bi zaključala MBR (Master Boot Record) tvrdog diska ciljanog sustava.

Dostavlja se kao sekundarni teret

Zlonamjerni softver Exaramel je backdoor trojanski program i raspoređen je kao zlonamjerni softver druge faze. Još jedan od alata za hakiranje grupe TeleBots pomaže da se Exaramel prijetnja dostavi domaćinu provlačeći ga iza sigurnosnih mjera na računalu. Korisni teret u prvoj fazi, koji pomaže malware-u Exaramel da kompromitira sustav, također osigurava otkrivanje bilo kojeg softvera ili alata koji mogu biti povezani sa otklanjanjem programske pogreške. Ako su rezultati ispitivanja pozitivni, napad će biti zaustavljen. Zbog toga će biti manje vjerovatno da će istraživači zlonamjernog softvera naići na Exaramel stražnju stranu i rastaviti je. Ako se napad nastavi, datoteke Exaramel-ove stražnje strane ubrizgavaju se u mapu Windows. Tada će prijetnja osigurati pokretanje nove usluge pod nazivom 'wsmprovav' pri pokretanju sustava. Ova je usluga opisana kao "Windows Checked AV", što bi trebalo izgledati kao zakonita usluga, a ne dio zlonamjerne operacije.

sposobnosti

Windows registarski ključ pohranjuje sve konfiguracije zlonamjernog softvera Exaramel, što nije baš uobičajena tehnika. Poklon Trojan informiran je o putu spremanja prenesenih datoteka, detaljima proxyja, podacima o poslužitelju C&C (Command & Control) i omogućuje prijetnju izvršiti osnovnu provjeru na webu. Exaramel backdoor Trojan može:

• Izvođenje VBS skripti.
• Pisanje datoteka u lokalni sustav.
• Izvođenje softvera.
• Prijenos datoteka na prethodno spomenuti put za pohranu.
• Izvođenje naredbi ljuske.

Grupa za hakiranje TeleBots često bi koristila Exaramel backdoor Trojan u kombinaciji s CredRaptor i Mimikatz alatima za hakiranje. Autori zlonamjernog softvera Exaramel razvili su i verziju prijetnje napisanu na programskom jeziku Go, koja omogućuje hakiraču ciljanje Linux poslužitelja i sustava.