El Grupo de Hackers Evilnum Resurge con Ataques de Spear Phishing a Organizaciones de Migración Europeas

Las operaciones de los hackers de Evilnum han sido cuidadosamente observadas por los analistas de seguridad desde 2020, rastreando la actividad de los actores de la amenaza hasta 2018. El grupo APT está predominantemente asociado con los ataques en el sector FinTech en Europa, a menudo clasificado como un grupo motivado financieramente. Fuentes afirmaron que la campaña de spear phishing más reciente que apunta a los servicios de migración internacional coincidió en una serie de parámetros con la gran escalada de la invasión rusa de Ucrania en febrero de 2022.

Los orígenes del grupo APT Evilnum aún son inciertos. Sin embargo, la evidencia sugiere que los hackers pueden estar involucrados en operaciones de espionaje vinculadas con el clúster bielorruso de actividad de intrusión cibernética denominada Ghostwriter.

Detectar la Actividad de Evilnum

Para defenderse proactivamente contra Evilnum APT, SOC Prime ha lanzado una regla Sigma única y enriquecida en contexto, desarrollada por el perspicaz Threat Bounty desarrollador Onur Atali:

Posible Ejecución de Evilnum APT mediante Detección de Comandos Asociados (a través de cmdline)

La regla de detección es compatible con las siguientes tecnologías líderes en la industria SIEM, EDR y XDR, compatibles con la plataforma de SOC Prime: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro y AWS OpenSearch.

La regla está alineada con el marco MITRE ATT&CK® v.10, abordando la táctica de Ejecución con el Intérprete de Comandos y Scripts (T1059; T1059.001) como la técnica principal.

Presiona el botón Detectar & Buscar para acceder a una vasta biblioteca de contenido de detección de amenazas cibernéticas. Todas las reglas están mapeadas al marco MITRE ATT&CK, meticulosamente curadas y verificadas. El botón Explorar Contexto de Amenaza revelará las últimas actualizaciones de contenido y el contexto relevante de la amenaza.

Detectar & Buscar Explorar Contexto de Amenaza

Análisis del Grupo Evilnum

Esta última ola de actividad maliciosa de Evilnum está dirigida a entidades europeas en servicios de migración internacional. Los investigadores de Zscaler informan que el arsenal del grupo Evilnum utilizado en estos ataques difiere del utilizado en campañas anteriores. Los actores de la amenaza utilizaron documentos de MS Office Word armados, entregados a través de correo electrónico de spear phishing, para desplegar cargas maliciosas en dispositivos objetivo.

La evidencia sugiere que las cargas fueron descifradas y lanzadas utilizando un JavaScript inusualmente altamente ofuscado. El binario se ejecuta mediante una tarea programada creada durante la ejecución de JavaScript. El actor de la amenaza seleccionó cuidadosamente los nombres de cada artefacto del sistema de archivos generado durante la ejecución para imitar binarios auténticos de Windows y de otros terceros legítimos. Los hackers de Evilnum logran persistencia dentro de los sistemas comprometidos y exfiltran los datos de las víctimas.

Para detectar oportunamente violaciones de seguridad, aprovecha los beneficios de la defensa cibernética colaborativa uniéndote a nuestra comunidad global de ciberseguridad en la plataforma de Detection as Code de SOC Prime. Obtén detecciones precisas y oportunas entregadas por profesionales experimentados de todo el mundo para mantenerte al día con la caza de amenazas, potenciar las operaciones de tu equipo SOC y establecer una postura de defensa en profundidad.