Exaramel

Exaramel黑客工具是一種威脅,最近在TeleBots黑客組織的一項活動中被發現。在研究威脅時,惡意軟件研究人員注意到Exaramel惡意軟件與TeleBots小組中的另一個名為Industroyer的黑客工具非常相似。近年來,TeleBots黑客組織非常活躍,其威脅性攻擊活動已成為許多頭條新聞。它最著名的行動發生在2015年,涉及到他們,造成了斷電,這是惡意軟件從未實現的。 TeleBots小組也是臭名昭著的Petya Ransomware背後的一個小組,該組織困擾了一段時間的網絡。威脅將鎖定目標系統上硬盤驅動器的MBR(主引導記錄)。

作為次級有效負載交付

Exaramel惡意軟件是後門特洛伊木馬,並且被部署為第二階段惡意軟件。 TeleBots小組的另一種黑客工具通過將Exaramel威脅越過計算機上的安全措施來幫助將其傳播給主機。第一階段的有效負載可幫助Exaramel惡意軟件破壞系統,還可以確保發現可能與惡意軟件調試相關的任何軟件或工具。如果測試結果是肯定的,則攻擊將停止。這將減少惡意軟件研究人員接觸Exaramel後門並進行剖析的可能性。但是,如果攻擊繼續,則Exaramel後門的文件將被注入Windows文件夾中。然後,威脅將確保在系統啟動時啟動名為" wsmprovav"的新服務。該服務被稱為" Windows Checked AV",旨在使其看起來像是合法服務,而不是惡意操作的一部分。

能力

Windows註冊表項存儲Exaramel惡意軟件的所有配置,這不是很常見的技術。後門特洛伊木馬會被告知有關上載文件的存儲路徑,代理詳細信息,有關C&C(命令與控制)服務器的數據,它使威脅可以執行基本的Web檢查。 Exaramel後門木馬能夠:

  • 執行VBS腳本。
  • 將文件寫入本地系統。
  • 執行軟件。
  • 將文件上傳到前面提到的存儲路徑。
  • 執行shell命令。

TeleBots黑客小組通常會與CredRaptor和Mimikatz黑客工具一起使用Exaramel後門木馬。 Exaramel惡意軟件的作者還開發了一種以Go編程語言編寫的威脅版本,該版本使黑客工具可以將Linux服務器和系統作為目標。

熱門

最受關注

加載中...