Exaramel: la prova del collegamento tra Industroyer e (Not)Petya

I ricercatori di ESET hanno individuato Exaramel, una nuova backdoor utilizzata da TeleBots – il gruppo responsabile dell’enorme diffusione del ransomware (Not) Petya – che rivela forti similitudini nel codice con la backdoor principale di Industroyer, il più potente malware moderno rivolto ai sistemi di controllo industriale e responsabile del blackout elettrico di Kiev, nel 2016. La forte somiglianza tra Exaramel e la backdoor principale di Industroyer è la prima prova presentata pubblicamente che collega Industroyer a TeleBots e quindi a (Non) Petya e a BlackEnergy.

La scoperta di Exaramel mostra che nel 2018 il gruppo TeleBots è ancora attivo e che i criminali continuano a migliorare i loro strumenti e le loro tattiche.

Exaramel: la prova del collegamento tra Industroyer e (Not)Petya

Exaramel

La backdoor Exaramel viene inizialmente rilasciata da un dropper che, una volta eseguito, installa il codice binario della backdoor nella directory di sistema di Windows, creando e avviando un servizio Windows denominato wsmproav con la descrizione “Windows Check AV”. Il nome file e la descrizione del servizio Windows sono codificati nel dropper.

Nel caso di Exaramel gli hacker raggruppano i loro obiettivi in base alle soluzioni di sicurezza in uso e un comportamento simile si può trovare nel toolset Industroyer; in particolare alcune backdoor di questo malware sono state camuffate come servizio legato all’AV (distribuito con il nome avtask.exe) e utilizzato nello stesso raggruppamento.

Un altro fatto interessante è che la backdoor utilizza server C & C con nomi di dominio che imitano quelli appartenenti a ESET, come esetsmart [.] org e um10eset [.] net.

Una volta che la backdoor è in esecuzione, si connette a un server C & C e riceve i comandi da eseguire.

Il codice del ciclo di comando e le implementazioni dei primi sei comandi sono molto simili a quelli trovati in una backdoor utilizzata nel toolset di Industroyer.

La principale differenza tra la backdoor del toolset Industroyer e Exaramel è che quest’ultima usa il formato XML per la comunicazione e la configurazione invece di un formato binario personalizzato.

Strumenti pericolosi per la sottrazione di password

Insieme alla backdoor Exaramel, questo gruppo utilizza alcuni dei suoi vecchi strumenti, tra cui un password-stealer internamente chiamato CredRaptor o PAI e un Mimikatz leggermente modificato.

Lo strumento Credraptor, noto dal 2016, è stato leggermente migliorato. A differenza delle versioni precedenti, raccoglie le password salvate non solo dai browser, ma anche da Outlook e da molti client FTP.

P.S: I ricercatori di ESET, nella descrizione dei cyber attacchi, analizzano connessioni basate su indicatori tecnici quali similarità del codice, infrastruttura C & C condivisa, catene di esecuzione del malware e così via e non sono direttamente coinvolti nell’indagine e nell’identificazione delle persone che codificano il malware e / o che lo distribuiscono. Per questo ESET si astiene da speculazioni in merito all’attribuzione degli attacchi a particolari nazioni o enti governativi.

Potrebbero anche interessarti:

Lascia un commento

Your email address will not be published. Required fields are marked with *.