Exaramel

De Exaramel-hacktool is een bedreiging, die onlangs werd opgemerkt in een van de campagnes van de hackgroep van TeleBots. Bij het bestuderen van de dreiging merkten malware-onderzoekers dat de Exaramel-malware vergelijkbaar is met een ander hacktool in het arsenaal van de TeleBots-groep genaamd Industroyer. De hackgroep van TeleBots is de afgelopen jaren zeer actief geweest en heeft veel krantenkoppen gehaald met zijn dreigende campagnes. De meest bekende operatie vond plaats in 2015 en omvatte hen, wat een black-out veroorzaakte, die nooit eerder was bereikt met malware. De TeleBots- groep is ook degene achter de beruchte Petya Ransomware , die het web een tijdje heeft geteisterd. De dreiging zou de MBR (Master Boot Record) van de harde schijf op het beoogde systeem vergrendelen.

Geleverd als secundaire lading

De Exaramel-malware is een Trojaanse achterdeur en wordt geïmplementeerd als een tweede fase malware. Nog een van de hacktools van de TeleBots-groep helpt de Exaramel-dreiging aan de host te leveren door langs de beveiligingsmaatregelen op de computer te sluipen. De eerste fase payload, die de Exaramel-malware helpt het systeem te compromitteren, zorgt er ook voor dat software of tools worden gevonden die mogelijk zijn gekoppeld aan het opsporen van malware. Als de testresultaten positief zijn, wordt de aanval gestopt. Dit maakt het minder waarschijnlijk dat malwareonderzoekers de achterdeur van Exaramel in handen krijgen en deze ontleden. Als de aanval echter doorgaat, worden de bestanden van de Exaramel-achterdeur in de Windows-map geïnjecteerd. Vervolgens zal de dreiging ervoor zorgen dat een nieuwe service genaamd 'wsmprovav' wordt gestart bij het opstarten van het systeem. Deze service wordt beschreven als 'Windows Checked AV', waardoor het lijkt alsof het een legitieme service is en geen onderdeel van een kwaadwillende bewerking.

mogelijkheden

De Windows Registry Key slaat alle configuraties van de Exaramel-malware op, wat geen veel voorkomende techniek is. De Trojaanse achterdeur wordt geïnformeerd over het opslagpad van de geüploade bestanden, proxygegevens, gegevens met betrekking tot de C&C (Command & Control) -server en stelt de dreiging in staat een eenvoudige webcontrole uit te voeren. De Exaramel backdoor Trojan is in staat om:

• VBS-scripts uitvoeren.
• Bestanden naar het lokale systeem schrijven.
• Software uitvoeren.
• Bestanden uploaden naar het eerder genoemde opslagpad.
• Shell-opdrachten uitvoeren.

De hackgroep van TeleBots zou de Exaramel backdoor Trojan vaak gebruiken in combinatie met de hacktools van CredRaptor en Mimikatz . De auteurs van de Exaramel-malware hebben ook een versie van de dreiging ontwikkeld die is geschreven in de programmeertaal Go, waarmee de hacktool Linux-servers en -systemen kan targeten.