Exaramel

Хакерский инструмент Exaramel представляет собой угрозу, которая недавно была обнаружена в одной из кампаний хакерской группы TeleBots. При изучении угрозы исследователи вредоносного ПО заметили, что вредоносное ПО Exaramel довольно похоже на другой хакерский инструмент в арсенале группы TeleBots под названием Industroyer. Хакерская группа TeleBots была очень активна в последние годы и сделала много заголовков своими угрожающими кампаниями. Его самая известная операция была проведена в 2015 году и привела к их отключению, что привело к отключению, которого никогда ранее не было достигнуто с помощью вредоносных программ. Группа TeleBots также стоит за печально известной Petya Ransomware , которая некоторое время мучила Интернет. Угроза блокирует MBR (Master Boot Record) жесткого диска в целевой системе.

Доставлено как вторичная полезная нагрузка

Вредоносная программа Exaramel - это бэкдор-троян, который развертывается как вредоносная программа второго уровня. Еще один из инструментов взлома группы TeleBots помогает доставить угрозу Exaramel на хост, взяв ее за пределы мер безопасности на компьютере. Полезная нагрузка первого этапа, которая помогает вредоносным программам Exaramel скомпрометировать систему, также гарантирует обнаружение любых программ или инструментов, которые могут быть связаны с отладкой вредоносных программ. Если результаты теста будут положительными, атака будет остановлена. Это уменьшит вероятность того, что исследователи вредоносных программ получат доступ к бэкдору Exaramel и будут его анализировать. Однако, если атака продолжится, файлы бэкдора Exaramel будут внедрены в папку Windows. Затем угроза убедится, что при запуске системы запускается новая служба wsmprovav. Этот сервис называется «Windows Checked AV», что делает его похожим на законный сервис, а не на часть вредоносной операции.

возможности

В ключе реестра Windows хранятся все конфигурации вредоносного ПО Exaramel, что не очень распространено. Бэкдор-троянец получает информацию о пути к хранилищу загруженных файлов, сведениях о прокси-сервере, данных о сервере C & C (Command & Control) и позволяет угрозе выполнить базовую веб-проверку. Троян Exaramel backdoor способен:

  • Выполнение VBS-скриптов.
  • Запись файлов в локальную систему.
  • Выполнение программного обеспечения.
  • Загрузка файлов в ранее указанный путь к хранилищу.
  • Выполнение команд оболочки.

Хакерская группа TeleBots часто использовала бэкдора Exaramel в унисон с хакерскими инструментами CredRaptor и Mimikatz . Авторы вредоносного ПО Exaramel также разработали версию угрозы, написанную на языке программирования Go, которая позволяет хакерскому инструменту ориентироваться на серверы и системы Linux.

В тренде

Наиболее просматриваемые

Загрузка...