Exaramel

Exaramel黑客工具是一种威胁，最近在TeleBots黑客组织的一项活动中被发现。在研究威胁时，恶意软件研究人员注意到Exaramel恶意软件与TeleBots小组中的另一个名为Industroyer的黑客工具非常相似。近年来，TeleBots黑客组织非常活跃，其威胁性攻击活动已成为许多头条新闻。它最著名的行动发生在2015年，涉及到他们，造成了断电，这是恶意软件从未实现的。 TeleBots小组也是臭名昭著的Petya Ransomware背后的一个小组，该组织困扰了一段时间的网络。该威胁将锁定目标系统上硬盘驱动器的MBR（主引导记录）。

作为次级有效负载交付

Exaramel恶意软件是后门特洛伊木马，并且被部署为第二阶段恶意软件。 TeleBots小组的另一种黑客工具通过将Exaramel威胁越过计算机上的安全措施来帮助将其传播给主机。第一阶段的有效负载可帮助Exaramel恶意软件破坏系统，还可以确保发现可能与恶意软件调试相关的任何软件或工具。如果测试结果为阳性，则攻击将停止。这将减少恶意软件研究人员接触Exaramel后门并进行剖析的可能性。但是，如果攻击继续，则Exaramel后门的文件将被注入Windows文件夹中。然后，威胁将确保在系统启动时启动名为" wsmprovav"的新服务。该服务被称为" Windows Checked AV"，旨在使其看起来像是合法服务，而不是恶意操作的一部分。

能力

Windows注册表项存储Exaramel恶意软件的所有配置，这不是很常见的技术。后门特洛伊木马会被告知有关上载文件的存储路径，代理详细信息，有关C＆C（命令与控制）服务器的数据，它使威胁可以执行基本的Web检查。 Exaramel后门木马能够：

• 执行VBS脚本。
• 将文件写入本地系统。
• 执行软件。
• 将文件上传到前面提到的存储路径。
• 执行shell命令。

TeleBots黑客小组通常会与CredRaptor和Mimikatz黑客工具一起使用Exaramel后门木马。 Exaramel恶意软件的作者还开发了使用Go编程语言编写的威胁版本，该版本使黑客工具可以将Linux服务器和系统作为目标。