Exaramel

Az Exaramel hackereszköz veszélyt jelent, amelyet a közelmúltban a TeleBots hackeléscsoport egyik kampányában észleltek. A fenyegetés vizsgálata során a rosszindulatú programok kutatói észrevették, hogy az Exaramel rosszindulatú programok inkább hasonlítanak a TeleBots csoport Industroyer nevű arzenáljának egy másik hackereszközéhez. A TeleBots hackerek csoportja az utóbbi években nagyon aktív volt, és számos címet tett a fenyegető kampányaival. Leghíresebb műveletére 2015-ben került sor, és bevonta őket, és olyan áramszünetet okozott, amelyet még soha nem sikerült elérni rosszindulatú programokkal. A TeleBots csoport szintén a hírhedt Petya Ransomware mögött áll , amely egy ideje sújtja az internetet. A fenyegetés blokkolja a merevlemez MBR-jét (Master Boot Record) a megcélzott rendszeren.

Másodlagos hasznos teherként szállítva

Az Exaramel malware egy hátsó ajtó trójai, és második szintű rosszindulatú programként van telepítve. A TeleBots csoport újabb hackereszközjei segítik az Exaramel fenyegetésének a kiszolgálónak történő átadását azáltal, hogy átmászják a számítógép biztonsági intézkedéseit. Az első szakaszban lévő hasznos terhelés, amely elősegíti az Exaramel rosszindulatú programoknak a rendszer kompromittálását, szintén ügyel arra, hogy észrevegyen minden szoftvert vagy eszközt, amelyek kapcsolódhatnak a rosszindulatú programok hibakereséséhez. Ha a teszt eredménye pozitív, a támadást megállítják. Ez kevésbé valószínű, hogy a rosszindulatú programok kutatói megkapasztalják az Exaramel hátsó ajtót, és boncolják azt. Ha azonban a támadás folytatódik, az Exaramel hátsó ajtó fájljait a Windows mappába fecskendezik. Ezután a fenyegetés biztosítja, hogy a rendszer indításakor elinduljon egy új, „wsmprovav" nevû szolgáltatás. Ezt a szolgáltatást „Windows ellenőrzött AV-nek" nevezzük, amelynek célja, hogy legitim szolgáltatásnak tűnjön, és nem egy rosszindulatú művelet részét képezi.

képességek

A Windows beállításkulcs az Exaramel rosszindulatú programok összes konfigurációját tárolja, ami nem túl gyakori módszer. A hátsó ajtó trójai tájékoztatást kap a feltöltött fájlok tárolási útjáról, a proxy részleteiről, a C&C (Command & Control) szerverre vonatkozó adatokról, és lehetővé teszi a fenyegetés számára, hogy elvégezzen egy alapvető webes ellenőrzést. Az Exaramel hátsó ajtó trójai képes:

  • VBS szkriptek végrehajtása.
  • Fájlok írása a helyi rendszerbe.
  • Végrehajtó szoftver.
  • Fájlok feltöltése a korábban említett tárolási útvonalra.
  • Shell parancsok végrehajtása.

A TeleBots csapkodócsoport gyakran az Exaramel hátsó ajtó tróját használja a CredRaptor és a Mimikatz csapkodó eszközökkel összehangoltan . Az Exaramel rosszindulatú programok szerzői kifejlesztették a fenyegetésnek a Go programozási nyelven írt verzióját is, amely lehetővé teszi a hacker eszköz számára a Linux szerverek és rendszerek célzását.

Felkapott

Legnézettebb

Betöltés...