PyVil RAT par le groupe Evilnum

Dernières Menaces

septembre 09, 2020

2 min de lecture

PyVil RAT par le groupe Evilnum

Eugene Tkachenko
Eugene Tkachenko Responsable Programme Communautaire linkedin icon Suivre

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnez-vous au Résumé Hebdomadaire

Exclusif pour les utilisateurs de SOC Prime

Newsletter Icon

Les opérations du groupe Evilnum ont été découvertes pour la première fois en 2018. Le groupe se concentre principalement sur les attaques contre de grandes organisations de technologie financière, notamment sur les plateformes d’investissement et les entreprises liées aux cryptomonnaies. La plupart de leurs cibles sont situées en Europe et au Royaume-Uni, mais le groupe a également mené des attaques distinctes contre des organisations au Canada et en Australie. Les chercheurs attribuent cette géographie au fait que la plupart des entreprises attaquées ont des bureaux dans plusieurs pays, et les attaquants choisissent celui qui est le moins protégé. 

Le groupe Evilnum utilise souvent des LOLBins et des outils courants qui peuvent être achetés sur les forums clandestins, ce qui complique l’attribution des attaques. En enquêtant sur des attaques récentes, les chercheurs ont découvert un nouveau malware dans l’arsenal du groupe – un Trojan d’accès à distance scripté en Python nommé PyVil RAT. Le trojan est modulaire et peut télécharger de nouveaux modules qui étendent ses fonctionnalités. PyVil RAT peut agir en tant que keylogger et est capable d’effectuer une reconnaissance, de prendre des captures d’écran, d’exécuter des commandes cmd, d’ouvrir un shell SSH et d’installer des outils malveillants supplémentaires. 

Ariel Millahuel a publié une nouvelle règle communautaire de recherche de menace qui aide à découvrir les traces de PyVil RAT dans le réseau d’une organisation et à perturber les activités d’espionnage du groupe Evilnum : https://tdm.socprime.com/tdm/info/YgyDYAROBUOq/iYKSaHQBPeJ4_8xclmRF/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tactiques : Exécution, Évasion de défense

Techniques : Interface en ligne de commande (T1059), Fichiers ou informations obscurcis (T1027)

 

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme Bounty de Menace pour créer votre propre contenu et le partager avec la communauté TDM.

 

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.
Rejoindre gratuitement Planifier une réunion

More Dernières Menaces Articles

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Zahorulko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Zahorulko Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Zahorulko