Hackergruppe Evilnum taucht mit Spear-Phishing-Angriffen auf europäische Migrationsorganisationen wieder auf
Inhaltsverzeichnis:
Die Operationen der Evilnum-Hacker werden seit 2020 von Sicherheitsanalysten genau beobachtet; die Aktivitäten der Bedrohungsakteure lassen sich jedoch bereits bis 2018 zurückverfolgen. Die APT-Gruppe wird überwiegend mit Angriffen auf den FinTech-Sektor in Europa in Verbindung gebracht und oft als finanziell motivierte Gruppe eingestuft. Quellen behaupteten, dass die jüngste Spear-Phishing-Kampagne, die auf internationale Migrationsdienste abzielte, in mehreren Parametern mit der großen Eskalation der russischen Invasion in der Ukraine im Februar 2022 zusammenfiel.
Die Ursprünge der Evilnum APT-Gruppe sind weiterhin unklar. Dennoch deuten Beweise darauf hin, dass die Hacker an Spionageoperationen beteiligt sein könnten, die mit dem belarussischen Cluster der Cyber-Einbruchsaktivitäten in Verbindung stehen, der als Ghostwriter bekannt ist.
Aktivität von Evilnum erkennen
Um proaktiv gegen Evilnum APT zu verteidigen, hat SOC Prime eine einzigartige, kontextangereicherte Sigma-Regel veröffentlicht, die vom aufmerksamen Threat Bounty Entwickler Onur Atali:
Mögliche Evilnum APT-Ausführung durch Erkennung zugehöriger Befehle (über cmdline)
Die Erkennungsregel ist kompatibel mit den folgenden branchenführenden SIEM-, EDR- und XDR-Technologien, die von der Plattform von SOC Prime unterstützt werden: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch.
Die Regel ist ausgerichtet auf das MITRE ATT&CK® Framework v.10 und behandelt die Execution Taktik mit dem Haupttechnik Command and Scripting Interpreter (T1059; T1059.001).
Drücken Sie die Detect & Hunt Schaltfläche, um auf eine umfangreiche Bibliothek von Cybersicherheits-Erkennungsinhalten zuzugreifen. Alle Regeln sind dem MITRE ATT&CK-Framework zugeordnet, sorgfältig kuratiert und verifiziert. Der Explore Threat Context Button wird die neuesten Inhaltsaktualisierungen und den relevanten Bedrohungskontext aufzeigen.
Detect & Hunt Explore Threat Context
Analyse der Evilnum-Gruppe
Diese jüngste Welle bösartiger Aktivitäten von Evilnum zielt auf europäische Einrichtungen in internationalen Migrationsdiensten ab. Forscher von Zscaler berichten, dass das Arsenal der Evilnum-Gruppe, das in diesen Angriffen verwendet wird, sich von dem in früheren Kampagnen unterscheidet. Die Bedrohungsakteure nutzten bewaffnete MS Office Word-Dokumente, die per Spear-Phishing-E-Mail zugestellt wurden, um bösartige Payloads auf Zielgeräten einzuschleusen.
Beweise deuten darauf hin, dass die Payloads unter Verwendung eines ungewöhnlich stark verschleierten JavaScripts entschlüsselt und abgelegt wurden. Das Binärprogramm wird durch eine geplante Aufgabe ausgeführt, die während der JavaScript-Ausführung erstellt wird. Der Bedrohungsakteur wählte sorgfältig die Namen jedes Dateisystem-Artefakts aus, das während der Ausführung generiert wird, um authentische Windows- und andere legitime Drittanbieter-Binärcodes zu imitieren. Evilnum-Hacker erreichen Persistenz in kompromittierten Systemen und exfiltrieren die Daten der Opfer.
Um Sicherheitsverstöße rechtzeitig zu erkennen, profitieren Sie von den Vorteilen der kollaborativen Cyberabwehr, indem Sie unserer globalen Cybersicherheitsgemeinschaft bei SOC Primes Detection as Code Plattform beitreten. Profitieren Sie von präzisen und rechtzeitigen Erkennungen, die von erfahrenen Fachleuten aus der ganzen Welt bereitgestellt werden, um beim Bedrohungsjagen auf dem neuesten Stand zu bleiben, die Betriebstätigkeiten Ihres SOC-Teams zu verstärken und ein tiefgehendes Abwehrkonzept zu etablieren.
