Las operaciones del grupo Evilnum fueron descubiertas por primera vez en 2018. El grupo se centra en gran medida en los ataques a grandes organizaciones de tecnología financiera, especialmente en plataformas de inversión y empresas relacionadas con las criptomonedas. La mayoría de sus objetivos se encuentran en Europa y el Reino Unido, pero el grupo también ha llevado a cabo ataques separados a organizaciones en Canadá y Australia. Los investigadores atribuyen esta geografía al hecho de que la mayoría de las empresas atacadas tienen oficinas en varios países, y los atacantes eligen la que está menos protegida.
El grupo Evilnum a menudo utiliza LOLBins y herramientas comunes que pueden comprarse en foros clandestinos, y esto complica la atribución de los ataques. Al investigar ataques recientes, los investigadores descubrieron un nuevo malware en el arsenal del grupo: un troyano de acceso remoto scriptado en Python llamado PyVil RAT. El troyano es modular y puede descargar nuevos módulos que expanden sus funcionalidades. PyVil RAT puede actuar como registrador de teclas y es capaz de realizar reconocimientos, tomar capturas de pantalla, ejecutar comandos cmd, abrir un shell SSH e instalar herramientas maliciosas adicionales.
Ariel Millahuel lanzó una nueva regla de caza de amenazas comunitaria que ayuda a descubrir rastros de PyVil RAT en la red de una organización e interrumpe las actividades de espionaje del grupo Evilnum: https://tdm.socprime.com/tdm/info/YgyDYAROBUOq/iYKSaHQBPeJ4_8xclmRF/?p=1
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Ejecución, Evasión de Defensa
Técnicas: Interfaz de Línea de Comandos (T1059), Archivos o Información Ofuscados (T1027)
¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.
