{"id":34752,"date":"2018-10-24T18:59:03","date_gmt":"2018-10-24T16:59:03","guid":{"rendered":"http:\/\/www.area-press.eu\/comunicatistampa\/?p=34752"},"modified":"2018-10-24T18:59:03","modified_gmt":"2018-10-24T16:59:03","slug":"exaramel-la-nuova-backdoor-che-prova-il-collegamento-tra-industroyer-e-notpetya","status":"publish","type":"post","link":"https:\/\/www.area-press.eu\/comunicatistampa\/2018\/10\/24\/exaramel-la-nuova-backdoor-che-prova-il-collegamento-tra-industroyer-e-notpetya\/","title":{"rendered":"Exaramel, la nuova backdoor che prova il collegamento tra Industroyer e (Not)Petya"},"content":{"rendered":"<p>I ricercatori di ESET, il pi\u00f9 grande produttore di software per la sicurezza digitale dell\u2019Unione europea, hanno individuato Exaramel, una nuova backdoor utilizzata da <strong>TeleBots<\/strong> \u2013 il gruppo responsabile dell\u2019enorme diffusione del ransomware <strong>(Not) Petya<\/strong> \u2013 che rivela forti similitudini nel codice con la backdoor principale di <strong>Industroyer<\/strong>, il pi\u00f9 potente malware moderno rivolto ai sistemi di controllo industriale e responsabile del blackout elettrico di Kiev, nel 2016. <strong><em>La forte somiglianza tra Exaramel e la backdoor principale di Industroyer \u00e8 la prima prova presentata pubblicamente che collega Industroyer a TeleBots e quindi a (Non) Petya e a BlackEnergy<\/em><\/strong>.<\/p>\n<p>La scoperta di <strong>Exaramel<\/strong> mostra che nel 2018 il gruppo TeleBots \u00e8 ancora attivo e che i criminali continuano a migliorare i loro strumenti e le loro tattiche.<\/p>\n<p><strong>Analisi della backdoor Exaramel<\/strong><\/p>\n<p>La backdoor Exaramel viene inizialmente rilasciata da un dropper che, una volta eseguito, installa il codice binario della backdoor nella directory di sistema di Windows, creando e avviando un servizio Windows denominato <em>wsmproav<\/em> con la descrizione \u201cWindows Check AV\u201d. Il nome file e la descrizione del servizio Windows sono codificati nel dropper.<\/p>\n<p>Nel caso di Exaramel gli hacker raggruppano i loro obiettivi in base alle soluzioni di sicurezza in uso e un comportamento simile si pu\u00f2 trovare nel toolset Industroyer; in particolare alcune backdoor di questo malware sono state camuffate come servizio legato all\u2019AV (distribuito con il nome avtask.exe) e utilizzato nello stesso raggruppamento.<\/p>\n<p>Un altro fatto interessante \u00e8 che la backdoor utilizza server C &amp; C con nomi di dominio che imitano quelli appartenenti a ESET, come <em>esetsmart [.] org e um10eset [.] net<\/em>.<\/p>\n<p>Una volta che la backdoor \u00e8 in esecuzione, si connette a un server C &amp; C e riceve i comandi da eseguire.<\/p>\n<p>Il codice del ciclo di comando e le implementazioni dei primi sei comandi sono molto simili a quelli trovati in una backdoor utilizzata nel toolset di Industroyer.<\/p>\n<p>La principale differenza tra la backdoor del toolset Industroyer e Exaramel \u00e8 che quest\u2019ultima usa il formato <strong>XML<\/strong> per la comunicazione e la configurazione invece di un formato binario personalizzato.<\/p>\n<p><strong>Strumenti pericolosi per la sottrazione di password<\/strong><\/p>\n<p>Insieme alla backdoor Exaramel, questo gruppo utilizza alcuni dei suoi vecchi strumenti, tra cui un password-stealer internamente chiamato CredRaptor o PAI e un Mimikatz leggermente modificato.<\/p>\n<p>Lo strumento <strong>Credraptor<\/strong>, noto dal 2016, \u00e8 stato leggermente migliorato. A differenza delle versioni precedenti, raccoglie le password salvate non solo dai browser, ma anche da Outlook e da molti client <strong>FTP<\/strong>.<\/p>\n<p>&nbsp;<\/p>\n<ol>\n<li><em>I ricercatori di ESET, nella descrizione dei cyber attacchi, analizzano connessioni basate su indicatori tecnici quali similarit\u00e0 del codice, infrastruttura C &amp; C condivisa, catene di esecuzione del malware e cos\u00ec via e non sono direttamente coinvolti nell\u2019indagine e nell\u2019identificazione delle persone che codificano il malware e \/ o che lo distribuiscono. Per questo ESET si astiene da speculazioni in merito all\u2019attribuzione degli attacchi a particolari nazioni o enti governativi.<\/em><\/li>\n<\/ol>\n<p><strong>\u00a0<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>I ricercatori di ESET, il pi\u00f9 grande produttore di software per la sicurezza digitale dell\u2019Unione europea, hanno individuato Exaramel, una nuova backdoor utilizzata da TeleBots \u2013 il gruppo responsabile dell\u2019enorme diffusione del ransomware (Not) Petya \u2013 che rivela forti similitudini nel codice con la backdoor principale di Industroyer, il pi\u00f9 potente malware moderno rivolto ai [&hellip;]<\/p>\n","protected":false},"author":4630,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[29],"tags":[],"class_list":["post-34752","post","type-post","status-publish","format-standard","hentry","category-comunicati"],"_links":{"self":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/34752","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/users\/4630"}],"replies":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/comments?post=34752"}],"version-history":[{"count":1,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/34752\/revisions"}],"predecessor-version":[{"id":34753,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/34752\/revisions\/34753"}],"wp:attachment":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/media?parent=34752"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/categories?post=34752"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/tags?post=34752"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}