Convinti che i principali attacchi alla cyber sicurezza degli ultimi anni siano tutti riconducibili al gruppo TeleBots, i ricercatori di ESET hanno individuato Exaramel, una nuova backdoor utilizzata proprio dal gruppo responsabile dell’enorme diffusione del ransomware (Not) Petya.
Nello specifico, Exaramel rivela forti similitudini nel codice con la backdoor principale di Industroyer, il più potente malware moderno rivolto ai sistemi di controllo industriale e responsabile del blackout elettrico di Kiev, nel 2016. La forte somiglianza tra Exaramel e la backdoor principale di Industroyer è la prima prova presentata pubblicamente che collega Industroyer a TeleBots e quindi a (Non) Petya e a BlackEnergy. Non solo. La scoperta di Exaramel mostra che nel 2018 il gruppo TeleBots è ancora attivo e che i criminali continuano a migliorare i loro strumenti e le loro tattiche.
Analisi della backdoor Exaramel
La backdoor Exaramel viene inizialmente rilasciata da un dropper che, una volta eseguito, installa il codice binario della backdoor nella directory di sistema di Windows, creando e avviando un servizio Windows denominato wsmproav con la descrizione “Windows Check AV”. Il nome file e la descrizione del servizio Windows sono codificati nel dropper.
Nel caso di Exaramel gli hacker raggruppano i loro obiettivi in base alle soluzioni di sicurezza in uso e un comportamento simile si può trovare nel toolset Industroyer; in particolare alcune backdoor di questo malware sono state camuffate come servizio legato all’AV (distribuito con il nome avtask.exe) e utilizzato nello stesso raggruppamento.
Un altro fatto interessante è che la backdoor utilizza server C & C con nomi di dominio che imitano quelli appartenenti a ESET, come esetsmart [.] org e um10eset [.] net.
Una volta che la backdoor è in esecuzione, si connette a un server C & C e riceve i comandi da eseguire. Il codice del ciclo di comando e le implementazioni dei primi sei comandi sono molto simili a quelli trovati in una backdoor utilizzata nel toolset di Industroyer.
La principale differenza tra la backdoor del toolset Industroyer ed Exaramel è che quest’ultima usa il formato XML per la comunicazione e la configurazione invece di un formato binario personalizzato.
Strumenti pericolosi per la sottrazione di password
Insieme alla backdoor Exaramel, questo gruppo utilizza alcuni dei suoi vecchi strumenti, tra cui un password-stealer internamente chiamato CredRaptor o PAI e un Mimikatz leggermente modificato.
Lo strumento Credraptor, noto dal 2016, è stato leggermente migliorato. A differenza delle versioni precedenti, raccoglie le password salvate non solo dai browser, ma anche da Outlook e da molti client FTP.