Le groupe de hackers Evilnum refait surface avec des attaques de phishing ciblées sur les organisations migratoires européennes
Table des matières :
Les opérations des pirates informatiques d’Evilnum sont suivies de près par les analystes de sécurité depuis 2020, l’activité des protagonistes de la menace remontant jusqu’en 2018. Le groupe APT est principalement associé aux attaques sur le secteur FinTech en Europe, souvent classé comme un groupe à motivation financière. Des sources ont affirmé que la campagne récente de spear phishing ciblant les services de migration internationaux coïncidait avec la grande escalade de l’invasion russe de l’Ukraine en février 2022 selon plusieurs paramètres.
Les origines du groupe APT Evilnum sont encore incertaines. Néanmoins, des preuves suggèrent que les pirates pourraient être impliqués dans des opérations d’espionnage liées au cluster biélorusse d’activité d’intrusion cybernétique appelé Ghostwriter.
Détecter l’activité d’Evilnum
Pour se défendre de manière proactive contre Evilnum APT, SOC Prime a publié une règle Sigma unique enrichie de contexte développée par le perspicace Threat Bounty développeur Onur Atali:
Exécution possible d’Evilnum APT par détection de commandes associées (via cmdline)
La règle de détection est compatible avec les technologies SIEM, EDR et XDR de pointe prises en charge par la plateforme de SOC Prime : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, et AWS OpenSearch.
La règle est alignée avec le cadre MITRE ATT&CK® version 10, abordant la tactique d’Exécution avec le Command and Scripting Interpreter (T1059; T1059.001) comme technique principale.
Appuyez sur le bouton Détecter et Chasser pour accéder à une vaste bibliothèque de contenu de détection de menaces cybernétiques. Toutes les règles sont mappées au cadre MITRE ATT&CK, soigneusement organisées et vérifiées. Le bouton Explorer le Contexte des Menaces révèlera les dernières mises à jour de contenu et le contexte des menaces pertinent.
Détecter et Chasser Explorer le Contexte des Menaces
Analyse du Groupe Evilnum
Cette dernière vague d’activité malveillante d’Evilnum vise les entités européennes dans les services de migration internationale. Les chercheurs de Zscaler rapporte que l’arsenal du groupe Evilnum utilisé dans ces attaques diffère de celui utilisé dans les campagnes précédentes. Les acteurs de la menace ont utilisé des documents MS Office Word armés, livrés via des emails de spear phishing, pour déployer des charges utiles malveillantes sur les appareils cibles.
Les preuves suggèrent que les charges utiles ont été déchiffrées et déposées en utilisant un JavaScript inhabituellement fortement obscurci. Le binaire est exécuté par une tâche planifiée créée pendant l’exécution du JavaScript. L’acteur menaçant a soigneusement choisi les noms de chaque artefact de système de fichiers généré lors de l’exécution pour imiter les binaires authentiques de Windows et d’autres tiers légitimes. Les pirates d’Evilnum obtiennent une persistance au sein des systèmes compromis et exfiltrent les données des victimes.
Pour détecter en temps opportun les violations de sécurité, profitez des avantages de la défense cyber collaborative en rejoignant notre communauté mondiale de cybersécurité à la plateforme Détection en tant que Code de SOC Prime . Profitez de détections précises et en temps opportun livrées par des professionnels chevronnés du monde entier pour rester à jour sur la chasse aux menaces, dynamiser les opérations de votre équipe SOC et établir une posture de défense en profondeur.
