Home News Exaramel, la nuova backdoor che prova il collegamento tra Industroyer e (Not)Petya

Exaramel, la nuova backdoor che prova il collegamento tra Industroyer e (Not)Petya

da Alvise C.
Pubblicato: Aggiornato il: 0 commenti 4 minutes Leggi
A+A-
Reset

Secondo i ricercatori di ESET i principali attacchi alla cyber sicurezza degli ultimi anni sono tutti riconducibili al gruppo TeleBots

I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno individuato Exaramel, una nuova backdoor utilizzata da TeleBots – il gruppo responsabile dell’enorme diffusione del ransomware (Not) Petya – che rivela forti similitudini nel codice con la backdoor principale di Industroyer, il più potente malware moderno rivolto ai sistemi di controllo industriale e responsabile del blackout elettrico di Kiev, nel 2016.

La forte somiglianza tra Exaramel e la backdoor principale di Industroyer è la prima prova presentata pubblicamente che collega Industroyer a TeleBots e quindi a (Non) Petya e a BlackEnergy.

esettelebots


La scoperta di Exaramel mostra che nel 2018 il gruppo TeleBots è ancora attivo e che i criminali continuano a migliorare i loro strumenti e le loro tattiche.


Analisi della backdoor Exaramel


La backdoor Exaramel viene inizialmente rilasciata da un dropper che, una volta eseguito, installa il codice binario della backdoor nella directory di sistema di Windows, creando e avviando un servizio Windows denominato wsmproav con la descrizione “Windows Check AV”.

Il nome file e la descrizione del servizio Windows sono codificati nel dropper.


Nel caso di Exaramel gli hacker raggruppano i loro obiettivi in base alle soluzioni di sicurezza in uso e un comportamento simile si può trovare nel toolset Industroyer; in particolare alcune backdoor di questo malware sono state camuffate come servizio legato all’AV (distribuito con il nome avtask.exe) e utilizzato nello stesso raggruppamento.


Un altro fatto interessante è che la backdoor utilizza server C & C con nomi di dominio che imitano quelli appartenenti a ESET, come esetsmart [.] org e um10eset [.] net.


Una volta che la backdoor è in esecuzione, si connette a un server C & C e riceve i comandi da eseguire.


Il codice del ciclo di comando e le implementazioni dei primi sei comandi sono molto simili a quelli trovati in una backdoor utilizzata nel toolset di Industroyer.

La principale differenza tra la backdoor del toolset Industroyer e Exaramel è che quest’ultima usa il formato XML per la comunicazione e la configurazione invece di un formato binario personalizzato.


Strumenti pericolosi per la sottrazione di password


Insieme alla backdoor Exaramel, questo gruppo utilizza alcuni dei suoi vecchi strumenti, tra cui un password-stealer internamente chiamato CredRaptor o PAI e un Mimikatz leggermente modificato.


Lo strumento Credraptor, noto dal 2016, è stato leggermente migliorato. A differenza delle versioni precedenti, raccoglie le password salvate non solo dai browser, ma anche da Outlook e da molti client FTP.

NB. I ricercatori di ESET, nella descrizione dei cyber attacchi, analizzano connessioni basate su indicatori tecnici quali similarità del codice, infrastruttura C & C condivisa, catene di esecuzione del malware e così via e non sono direttamente coinvolti nell’indagine e nell’identificazione delle persone che codificano il malware e / o che lo distribuiscono.

Per questo ESET si astiene da speculazioni in merito all’attribuzione degli attacchi a particolari nazioni o enti governativi.

Per l’analisi tecnica di Exaramel è possibile visitare il blog di ESET Italia al seguente link: https://blog.eset.it/2018/10/nuova-backdoor-telebots-la-prima-prova-che-collega-lindustroyer-al-notpetya/

Non perdere questi contenuti:

Lascia un commento

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.