Exaramel

Exaramel-hackingverktøyet er en trussel, som ble oppdaget i en av kampanjene til TeleBots-hackinggruppen nylig. Når de studerer trusselen, merket malware-forskere at Exaramel-skadelig programvare heller ligner et annet hackingverktøy i arsenalet til TeleBots-gruppen kalt Industroyer. TeleBots hacking-gruppen har vært veldig aktiv de siste årene og har kommet mange overskrifter med sine truende kampanjer. Den mest kjente operasjonen fant sted i 2015 og involverte dem, noe som førte til en blackout, som aldri før hadde blitt oppnådd med malware. TeleBots- gruppen er også den bak den beryktede Petya Ransomware , som plaget nettet en stund. Trusselen vil låse MBR (Master Boot Record) på harddisken på det målrettede systemet.

Levert som sekundær nyttelast

Exaramel-skadelig programvare er en bakdør Trojan, og den er distribuert som en annentrinns malware. Et annet av TeleBots-gruppens hackingverktøy hjelper Exaramel-trusselen til å bli levert til verten ved å snike den forbi sikkerhetstiltakene på datamaskinen. Nyttelasten i første trinn, som hjelper Exaramel-malware med å kompromittere systemet, sørger også for å oppdage programvare eller verktøy, som kan være knyttet til feilsøking av skadelig programvare. Hvis testresultatene er positive, vil angrepet bli stoppet. Dette vil gjøre det mindre sannsynlig at malware-forskere vil få hendene på Exaramel-bakdøren og dissekerer den. Hvis angrepet fortsetter, vil imidlertid filene til bakdekselet til Exaramel bli injisert i Windows-mappen. Deretter vil trusselen sørge for at en ny tjeneste kalt 'wsmprovav' blir lansert ved systemstart. Denne tjenesten beskrives som 'Windows Checked AV', som er ment å få den til å virke som en legitim tjeneste og ikke en del av en ondsinnet operasjon.

Capabilities

Windows Registry Key lagrer alle konfigurasjonene av Exaramel-malware, som ikke er en veldig vanlig teknikk. Bakdøren Trojan blir informert om opplastede filers lagringsbane, proxy-detaljer, data angående C&C (Command & Control) server, og den gjør det mulig for trusselen å utføre en grunnleggende websjekk. Exaramel bakdør Trojan er i stand til:

• Utfører VBS-skript.
• Skrive filer til det lokale systemet.
• Utfører programvare.
• Laste opp filer til lagringsstien tidligere nevnt.
• Utfører skallkommandoer.

TeleBots-hackinggruppen vil ofte bruke Exaramel bakdør Trojan i samsvar med CredRaptor og Mimikatz hackingverktøyene . Forfatterne av Exaramel-malware har også utviklet en versjon av trusselen skrevet på Go-programmeringsspråket, som lar hackingsverktøyet målrette mot Linux-servere og -systemer.