Si chiama “Exaramel”, ed è la backdoor utilizzata dal gruppo di hacker che si fa chiamare “Telebot”, a cui è attribuibile la diffusione del ransomware (Not) Petya. A individuarla sono i ricercatori di Eset, società specializzata nella produzione di software per la sicurezza informatica, che hanno notato come Exaramel sia molto simile nel codice alla backdoor principale di Industroyer, il malware che attacca i sistemi di controllo industriale responsabile del blackout elettrico che si verificò a Kiev nel 2016.
“La forte somiglianza tra Exaramel e la backdoor principale di Industroyer – spiegano i ricercatori di Eset – è la prima prova presentata pubblicamente che collega Industroyer a TeleBots e quindi a (Non) Petya e a BlackEnergy”. Il senso di questa scoperta è dunque la prova che nel 2018 il gruppo TeleBots sia ancora attivo, e che “i criminali – si legge in una nota di Eset – continuano a migliorare i loro strumenti e le loro tattiche”.
Scendendo sulle caratteristiche tecniche di questo strumento utilizzato per gli attacchi, la backdoor Exaramel viene inizialmente rilasciata da un dropper che, una volta eseguito, installa il codice binario della backdoor nella directory di sistema di Windows, creando e avviando un servizio Windows denominato wsmproav con la descrizione “Windows Check AV”.
“Il nome file e la descrizione del servizio Windows sono codificati nel dropper – spiegano i ricercatori di Eset – Nel caso di Exaramel gli hacker raggruppano i loro obiettivi in base alle soluzioni di sicurezza in uso e un comportamento simile si può trovare nel toolset Industroyer. In particolare alcune backdoor di questo malware sono state camuffate come servizio legato all’AV (distribuito con il nome avtask.exe) e utilizzato nello stesso raggruppamento”. Una volta che la backdoor è in esecuzione, si connette a un server C & C e riceve i comandi da eseguire, mentre il codice del ciclo di comando e le implementazioni dei primi sei comandi, come rilevato dai tecnici di Eset, sono molto simili a quelli trovati in una backdoor utilizzata nel toolset di Industroyer.
Quanto alle differenze, la principale tra la backdoor del toolset Industroyer e Exaramel è che quest’ultima usa il formato XML per la comunicazione “e la configurazione invece di un formato binario personalizzato”.
Ma i punti di contatto tra le due tecniche di attacco non finiscono qui: la continuità consiste anche in un vecchio strumento, un password-stealer internamente chiamato CredRaptor, noto dal 2016 e oggi leggermente migliorato: a differenza delle versioni precedenti, raccoglie le password salvate non solo dai browser, ma anche da Outlook e da molti client Ftp.