Exaramel

Das Exaramel-Hacking-Tool ist eine Bedrohung, die kürzlich in einer der Kampagnen der TeleBots-Hacking-Gruppe entdeckt wurde. Bei der Untersuchung der Bedrohung stellten Malware-Forscher fest, dass die Exaramel-Malware einem anderen Hacking-Tool im Arsenal der TeleBots-Gruppe namens Industroyer ähnelt. Die TeleBots-Hacking-Gruppe war in den letzten Jahren sehr aktiv und hat mit ihren Bedrohungskampagnen viele Schlagzeilen gemacht. Die berühmteste Operation fand im Jahr 2015 statt und führte zu einem Blackout, der mit Malware noch nie zuvor erreicht worden war. Die TeleBots- Gruppe ist auch diejenige, die hinter der berüchtigten Petya Ransomware steht , die das Web für eine Weile geplagt hat. Die Bedrohung würde den MBR (Master Boot Record) der Festplatte auf dem Zielsystem sperren.

Wird als sekundäre Nutzlast geliefert

Die Exaramel-Malware ist ein Backdoor-Trojaner und wird als Malware der zweiten Stufe bereitgestellt. Ein anderes Hacking-Tool der TeleBots-Gruppe hilft dabei, die Exaramel-Bedrohung auf den Host zu übertragen, indem es sich an den Sicherheitsmaßnahmen auf dem Computer vorbei schleicht. Die Payload der ersten Stufe, mit der die Exaramel-Malware das System kompromittieren kann, stellt auch sicher, dass alle Software oder Tools erkannt werden, die möglicherweise mit dem Debuggen von Malware in Verbindung stehen. Wenn die Testergebnisse positiv sind, wird der Angriff abgebrochen. Dies wird es weniger wahrscheinlich machen, dass Malware-Forscher die Exaramel-Hintertür in die Hände bekommen und sie sezieren. Wenn der Angriff jedoch fortgesetzt wird, werden die Dateien der Exaramel-Backdoor in den Windows-Ordner eingefügt. Die Bedrohung stellt dann sicher, dass beim Systemstart ein neuer Dienst namens "wsmprovav" gestartet wird. Dieser Dienst wird als "Windows Checked AV" bezeichnet. Damit soll er als legitimer Dienst und nicht als Teil eines böswilligen Vorgangs erscheinen.

Fähigkeiten

Der Windows-Registrierungsschlüssel speichert alle Konfigurationen der Exaramel-Malware, was keine alltägliche Technik ist. Der Backdoor-Trojaner wird über den Speicherpfad der hochgeladenen Dateien, Proxy-Details und Daten zum C & C-Server (Command & Control) informiert und ermöglicht der Bedrohung die Durchführung einer grundlegenden Webprüfung. Der Exaramel-Backdoor-Trojaner kann:

• Ausführen von VBS-Skripten.
• Dateien auf das lokale System schreiben.
• Software ausführen.
• Hochladen von Dateien auf den zuvor genannten Speicherpfad.
• Shell-Befehle ausführen.

Die TeleBots-Hacking-Gruppe verwendete den Exaramel-Backdoor-Trojaner häufig zusammen mit den Hacker-Tools CredRaptor und Mimikatz . Die Autoren der Exaramel-Malware haben auch eine Version der in der Programmiersprache Go geschriebenen Bedrohung entwickelt, mit der das Hacking-Tool auf Linux-Server und -Systeme abzielen kann.