Exaramel

Exaramel-hackverktyget är ett hot, som upptäcktes i en av kampanjerna för TeleBots-hacking-gruppen nyligen. När de studerade hotet märkte malware-forskare att malware Exaramel snarare liknar ett annat hackingverktyg i arsenal av TeleBots-gruppen som heter Industroyer. TeleBots hacking-gruppen har varit mycket aktiv de senaste åren och har gjort många rubriker med sina hotande kampanjer. Dess mest kända operation ägde rum 2015 och involverade dem, vilket orsakade en blackout, som aldrig tidigare hade uppnåtts med skadlig programvara. TeleBots- gruppen är också den bakom den ökända Petya Ransomware , som plågade webben ett tag. Hotet låser MBR (Master Boot Record) på hårddisken på det riktade systemet.

Levereras som sekundär nyttolast

Exaramel-skadlig programvara är en trojan som är en bakdörr och den distribueras som ett andra steg. Ett annat av TeleBots-gruppens hackverktyg hjälper Exaramel-hotet att levereras till värden genom att smyga det förbi säkerhetsåtgärderna på datorn. Den första stegets nyttolast, som hjälper Exaramel-skadlig programvara att kompromissa med systemet, ser också till att upptäcka programvara eller verktyg, som kan vara kopplade till felsökning av skadlig programvara. Om testresultaten är positiva kommer stoppet att stoppas. Detta kommer att göra det mindre troligt att malware-forskare kommer att få tag på Exaramel-bakdörren och dissekera den. Om attacken fortsätter kommer emellertid filerna från Exaramel-bakdörren att injiceras i Windows-mappen. Då kommer hotet att se till att en ny tjänst som heter 'wsmprovav' lanseras vid systemstart. Den här tjänsten beskrivs som 'Windows Checked AV', vilket är tänkt att göra det verkar som en legitim tjänst och inte en del av en skadlig åtgärd.

Förmågor

Windows Registry Key lagrar alla konfigurationer av Exaramel malware, vilket inte är en mycket vanlig teknik. Den bakre dörren Trojan informeras om de laddade filernas lagringsväg, proxyinformation, data angående C&C (Command & Control) -servern, och det gör det möjligt för hotet att utföra en grundläggande webbkontroll. Exaramel bakdörr Trojan kan:

  • Utför VBS-skript.
  • Skriva filer till det lokala systemet.
  • Utför programvara.
  • Ladda upp filer till tidigare nämnda lagringsväg.
  • Utför skal-kommandon.

TeleBots hackinggrupp skulle ofta använda Exaramel bakdörr Trojan i samklang med CredRaptor och Mimikatz hackingverktyg . Författarna till Exaramel-skadliga program har också utvecklat en version av hotet skrivet på Go-programmeringsspråket, vilket gör det möjligt för hackningsverktyget att rikta sig mot Linux-servrar och system.

Trendigt

Mest sedda

Läser in...