PyVil RAT par le groupe Evilnum

Les opérations du groupe Evilnum ont été découvertes pour la première fois en 2018. Le groupe se concentre principalement sur les attaques contre de grandes organisations de technologie financière, notamment sur les plateformes d’investissement et les entreprises liées aux cryptomonnaies. La plupart de leurs cibles sont situées en Europe et au Royaume-Uni, mais le groupe a également mené des attaques distinctes contre des organisations au Canada et en Australie. Les chercheurs attribuent cette géographie au fait que la plupart des entreprises attaquées ont des bureaux dans plusieurs pays, et les attaquants choisissent celui qui est le moins protégé. 

Le groupe Evilnum utilise souvent des LOLBins et des outils courants qui peuvent être achetés sur les forums clandestins, ce qui complique l’attribution des attaques. En enquêtant sur des attaques récentes, les chercheurs ont découvert un nouveau malware dans l’arsenal du groupe – un Trojan d’accès à distance scripté en Python nommé PyVil RAT. Le trojan est modulaire et peut télécharger de nouveaux modules qui étendent ses fonctionnalités. PyVil RAT peut agir en tant que keylogger et est capable d’effectuer une reconnaissance, de prendre des captures d’écran, d’exécuter des commandes cmd, d’ouvrir un shell SSH et d’installer des outils malveillants supplémentaires. 

Ariel Millahuel a publié une nouvelle règle communautaire de recherche de menace qui aide à découvrir les traces de PyVil RAT dans le réseau d’une organisation et à perturber les activités d’espionnage du groupe Evilnum : https://tdm.socprime.com/tdm/info/YgyDYAROBUOq/iYKSaHQBPeJ4_8xclmRF/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution, Évasion de défense

Techniques : Interface en ligne de commande (T1059), Fichiers ou informations obscurcis (T1027)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme Bounty de Menace pour créer votre propre contenu et le partager avec la communauté TDM.