エグザメル
Exaramelハッキングツールは脅威であり、最近、TeleBotsハッキンググループのキャンペーンの1つで発見されました。脅威を調査したとき、マルウェア研究者は、Exaramelマルウェアが、Industroyerと呼ばれるTeleBotsグループの兵器庫にある別のハッキングツールにかなり似ていることに気付きました。 TeleBotsハッキンググループは近年非常に活発であり、脅迫的なキャンペーンで多くの見出しを立てています。最も有名な操作は2015年に行われ、それらが関与して、以前はマルウェアで達成されなかった停電を引き起こしました。 TeleBotsグループは、しばらくの間Webを悩ませていた悪名高いPetya Ransomwareの背後にあるグループでもあります。この脅威は、ターゲットシステムのハードドライブのMBR(マスターブートレコード)をロックします。
セカンダリペイロードとして配信
Exaramelマルウェアはバックドア型トロイの木馬であり、第2段階のマルウェアとして展開されます。 TeleBotsグループのもう1つのハッキングツールは、Exaramelの脅威がコンピューターのセキュリティ対策をこっそりホストに提供するのに役立ちます。 Exaramelマルウェアがシステムを侵害するのを助ける第1段階のペイロードは、マルウェアのデバッグにリンクされている可能性のあるソフトウェアまたはツールを見つけることも確実にします。テスト結果が陽性の場合、攻撃は停止されます。これにより、マルウェア研究者がExaramelバックドアを手に入れて分析する可能性が低くなります。ただし、攻撃が継続すると、ExaramelバックドアのファイルがWindowsフォルダーに挿入されます。次に、この脅威は、システムの起動時に「wsmprovav」という新しいサービスが起動されるようにします。このサービスは「Windows Checked AV」と呼ばれ、悪意のある操作の一部ではなく、正当なサービスのように見せることを目的としています。
能力
Windowsレジストリキーには、Exaramelマルウェアのすべての構成が格納されますが、これはあまり一般的な手法ではありません。バックドアトロイの木馬は、アップロードされたファイルのストレージパス、プロキシの詳細、C&C(コマンド&コントロール)サーバーに関するデータについて通知され、脅威が基本的なWebチェックを実行できるようにします。 Exaramelバックドアトロイの木馬には次の機能があります。
- VBSスクリプトの実行。
- ローカルシステムへのファイルの書き込み。
- ソフトウェアの実行。
- 前述のストレージパスへのファイルのアップロード。
- シェルコマンドの実行。
TeleBotsハッキンググループは、多くの場合、CredRaptorおよびMimikatzハッキングツールと連携してExaramelバックドアトロイの木馬を使用します。 Exaramelマルウェアの作成者は、Goプログラミング言語で記述された脅威のバージョンも開発しました。これにより、ハッキングツールはLinuxサーバーおよびシステムを標的にすることができます。
