Exaramel, la nuova backdoor che prova il collegamento tra Industroyer e (Not)Petya

Exaramel, la nuova backdoor che prova il collegamento tra Industroyer e (Not)Petya
INFORMAZIONI SCHEDA
di

I ricercatori di ESET hanno individuato Exaramel, una nuova backdoor utilizzata da TeleBots - il gruppo responsabile dell'enorme diffusione del ransomware (Not) Petya - che rivela forti similitudini nel codice con la backdoor principale di Industroyer, il più potente malware moderno rivolto ai sistemi di controllo industriale.

La forte somiglianza tra Exaramel e la backdoor principale di Industroyer è la prima prova presentata pubblicamente che collega Industroyer a TeleBots e quindi a (Non) Petya e a BlackEnergy. La scoperta di Exaramel mostra che nel 2018 il gruppo TeleBots è ancora attivo e che i criminali continuano a migliorare i loro strumenti e le loro tattiche.

La backdoor Exaramel viene inizialmente rilasciata da un dropper che, una volta eseguito, installa il codice binario della backdoor nella directory di sistema di Windows, creando e avviando un servizio Windows denominato wsmproav con la descrizione "Windows Check AV". Il nome file e la descrizione del servizio Windows sono codificati nel dropper.

Nel caso di Exaramel gli hacker raggruppano i loro obiettivi in base alle soluzioni di sicurezza in uso e un comportamento simile si può trovare nel toolset Industroyer; in particolare alcune backdoor di questo malware sono state camuffate come servizio legato all'AV (distribuito con il nome avtask.exe) e utilizzato nello stesso raggruppamento. Un altro fatto interessante è che la backdoor utilizza server C & C con nomi di dominio che imitano quelli appartenenti a ESET, come esetsmart [.] org e um10eset [.] net.

Una volta che la backdoor è in esecuzione, si connette a un server C & C e riceve i comandi da eseguire. Il codice del ciclo di comando e le implementazioni dei primi sei comandi sono molto simili a quelli trovati in una backdoor utilizzata nel toolset di Industroyer. La principale differenza tra la backdoor del toolset Industroyer e Exaramel è che quest’ultima usa il formato XML per la comunicazione e la configurazione invece di un formato binario personalizzato.

Insieme alla backdoor Exaramel, questo gruppo utilizza alcuni dei suoi vecchi strumenti, tra cui un password-stealer internamente chiamato CredRaptor o PAI e un Mimikatz leggermente modificato.

Lo strumento Credraptor, noto dal 2016, è stato leggermente migliorato. A differenza delle versioni precedenti, raccoglie le password salvate non solo dai browser, ma anche da Outlook e da molti client FTP.

Per ulteriori informazioni in merito, vi rimandiamo al blog ufficiale di ESET. Un ulteriore approfondimento è disponibile su WeLiveSecurity.

FONTE: ESET
Quanto è interessante?
3

Gli ultimi Smartphone, TV 4K o gli accessori più GEEK li trovate in offerta su Amazon.it

Exaramel, la nuova backdoor che prova il collegamento tra Industroyer e (Not)Petya