I ricercatori hanno individuato Exaramel, la nuova backdoor utilizzata dal gruppo responsabile dell’enorme diffusione del ransomware (Not) Petya

TeleBots

I ricercatori di ESET hanno individuato una nuova backdoor utilizzata da TeleBots – il gruppo responsabile dell’enorme diffusione del ransomware (Not) Petya: Exaramel, che rivela forti similitudini nel codice con la backdoor principale di Industroyer, il più potente malware moderno rivolto ai sistemi di controllo industriale e responsabile del blackout elettrico di Kiev, nel 2016. La forte somiglianza tra Exaramel e la backdoor principale di Industroyer è la prima prova presentata pubblicamente che collega Industroyer a TeleBots e quindi a (Non) Petya e a BlackEnergy.

La scoperta di Exaramel mostra che nel 2018 il gruppo TeleBots è ancora attivo e che i criminali continuano a migliorare i loro strumenti e le loro tattiche.

Analisi della backdoor Exaramel

La backdoor Exaramel viene inizialmente rilasciata da un dropper che, una volta eseguito, installa il codice binario della backdoor nella directory di sistema di Windows, creando e avviando un servizio Windows denominato wsmproav con la descrizione “Windows Check AV”. Il nome file e la descrizione del servizio Windows sono codificati nel dropper.

Nel caso di Exaramel gli hacker raggruppano i loro obiettivi in base alle soluzioni di sicurezza in uso e un comportamento simile si può trovare nel toolset Industroyer; in particolare alcune backdoor di questo malware sono state camuffate come servizio legato all’AV (distribuito con il nome avtask.exe) e utilizzato nello stesso raggruppamento.

Un altro fatto interessante è che la backdoor utilizza server C & C con nomi di dominio che imitano quelli appartenenti a ESET, come esetsmart [.] org e um10eset [.] net.

Una volta che la backdoor è in esecuzione, si connette a un server C & C e riceve i comandi da eseguire.

Il codice del ciclo di comando e le implementazioni dei primi sei comandi sono molto simili a quelli trovati in una backdoor utilizzata nel toolset di Industroyer.

La principale differenza tra la backdoor del toolset Industroyer e Exaramel è che quest’ultima usa il formato XML per la comunicazione e la configurazione invece di un formato binario personalizzato.

Strumenti pericolosi per la sottrazione di password

Insieme alla backdoor Exaramel, questo gruppo utilizza alcuni dei suoi vecchi strumenti, tra cui un password-stealer internamente chiamato CredRaptor o PAI e un Mimikatz leggermente modificato.

Lo strumento Credraptor, noto dal 2016, è stato leggermente migliorato. A differenza delle versioni precedenti, raccoglie le password salvate non solo dai browser, ma anche da Outlook e da molti client FTP.

NB. I ricercatori di ESET, nella descrizione dei cyber attacchi, analizzano connessioni basate su indicatori tecnici quali similarità del codice, infrastruttura C & C condivisa, catene di esecuzione del malware e così via e non sono direttamente coinvolti nell’indagine e nell’identificazione delle persone che codificano il malware e / o che lo distribuiscono. Per questo ESET si astiene da speculazioni in merito all’attribuzione degli attacchi a particolari nazioni o enti governativi.