PyVil RAT von Evilnum Group

Die Operationen der Evilnum-Gruppe wurden erstmals 2018 entdeckt. Die Gruppe konzentriert sich stark auf Angriffe auf große Finanztechnologie-Organisationen, insbesondere auf Investmentplattformen und Unternehmen im Zusammenhang mit Kryptowährungen. Die meisten ihrer Ziele befinden sich in Europa und dem Vereinigten Königreich, aber die Gruppe führte auch separate Angriffe auf Organisationen in Kanada und Australien durch. Forscher führen diese Geographie darauf zurück, dass die meisten der angegriffenen Unternehmen in mehreren Ländern Niederlassungen haben und die Angreifer diejenige wählen, die am wenigsten geschützt ist. 

Die Evilnum-Gruppe verwendet oft LOLBins und gängige Werkzeuge, die in Untergrundforen gekauft werden können, was die Zuordnung der Angriffe erschwert. Bei der Untersuchung jüngster Angriffe entdeckten Forscher neue Malware im Arsenal der Gruppe – einen mit Python gescripteten Remote Access Trojaner namens PyVil RAT. Der Trojaner ist modular aufgebaut und kann neue Module herunterladen, die seine Funktionen erweitern. PyVil RAT kann als Keylogger fungieren und ist in der Lage, Aufklärungsarbeiten durchzuführen, Screenshots zu machen, CMD-Befehle auszuführen, eine SSH-Shell zu öffnen und zusätzliche bösartige Werkzeuge zu installieren. 

Ariel Millahuel veröffentlichte eine neue Community-Threat-Hunting-Regel, die hilft, Spuren von PyVil RAT im Netzwerk einer Organisation aufzudecken und die Spionageaktivitäten der Evilnum-Gruppe zu stören: https://tdm.socprime.com/tdm/info/YgyDYAROBUOq/iYKSaHQBPeJ4_8xclmRF/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung, Verteidigungstechnikumgehung

Techniken: Befehlszeilenschnittstelle (T1059), Verschleierte Dateien oder Informationen (T1027)

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder nehmen Sie am Threat Bounty-Programm teil um Ihre eigenen Inhalte zu erstellen und sie mit der TDM-Community zu teilen.