PyVil RAT por el grupo Evilnum

Las operaciones del grupo Evilnum fueron descubiertas por primera vez en 2018. El grupo se centra en gran medida en los ataques a grandes organizaciones de tecnología financiera, especialmente en plataformas de inversión y empresas relacionadas con las criptomonedas. La mayoría de sus objetivos se encuentran en Europa y el Reino Unido, pero el grupo también ha llevado a cabo ataques separados a organizaciones en Canadá y Australia. Los investigadores atribuyen esta geografía al hecho de que la mayoría de las empresas atacadas tienen oficinas en varios países, y los atacantes eligen la que está menos protegida. 

El grupo Evilnum a menudo utiliza LOLBins y herramientas comunes que pueden comprarse en foros clandestinos, y esto complica la atribución de los ataques. Al investigar ataques recientes, los investigadores descubrieron un nuevo malware en el arsenal del grupo: un troyano de acceso remoto scriptado en Python llamado PyVil RAT. El troyano es modular y puede descargar nuevos módulos que expanden sus funcionalidades. PyVil RAT puede actuar como registrador de teclas y es capaz de realizar reconocimientos, tomar capturas de pantalla, ejecutar comandos cmd, abrir un shell SSH e instalar herramientas maliciosas adicionales. 

Ariel Millahuel lanzó una nueva regla de caza de amenazas comunitaria que ayuda a descubrir rastros de PyVil RAT en la red de una organización e interrumpe las actividades de espionaje del grupo Evilnum: https://tdm.socprime.com/tdm/info/YgyDYAROBUOq/iYKSaHQBPeJ4_8xclmRF/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución, Evasión de Defensa

Técnicas: Interfaz de Línea de Comandos (T1059), Archivos o Información Ofuscados (T1027)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.