Il Gruppo di Hacker Evilnum Riappare con Attacchi di Spear Phishing su Organizzazioni Europee per la Migrazione

Le operazioni degli hacker di Evilnum sono state seguite da vicino dagli analisti di sicurezza dal 2020, con le attività degli attori delle minacce tracciate già dal 2018. Il gruppo APT è prevalentemente associato agli attacchi nel settore FinTech in Europa, spesso classificato come un gruppo motivato finanziariamente. Fonti hanno affermato che la campagna di spear phishing più recente, indirizzata ai servizi di migrazione internazionale, coincideva in diversi parametri con la grande escalation dell’invasione russa dell’Ucraina nel febbraio 2022.

Le origini del gruppo Evilnum APT sono ancora poco chiare. Tuttavia, prove suggeriscono che gli hacker potrebbero essere coinvolti in operazioni di spionaggio collegate al cluster bielorusso di attività di intrusione informatica soprannominato Ghostwriter.

Rileva l’attività di Evilnum

Per difendersi proattivamente contro Evilnum APT, SOC Prime ha rilasciato una regola Sigma unica, arricchita di contesto e sviluppata dall’acuta Threat Bounty sviluppatore Onur Atali:

Possibile Esecuzione di Evilnum APT attraverso il Rilevamento di Comandi Associati (via cmdline)

La regola di rilevamento è compatibile con le seguenti tecnologie SIEM, EDR e XDR leader del settore supportate dalla piattaforma di SOC Prime: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.

La regola è allineata con il framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione con Command and Scripting Interpreter (T1059; T1059.001) come tecnica principale.

Premi il pulsante Detect & Hunt per accedere a una vasta libreria di contenuti di rilevamento delle minacce informatiche. Tutte le regole sono mappate al framework MITRE ATT&CK, accuratamente curate e verificate. Il pulsante Explore Threat Context rivelerà gli ultimi aggiornamenti sui contenuti e il contesto delle minacce pertinente.

Detect & Hunt Explore Threat Context

Analisi del Gruppo Evilnum

Quest’ultima ondata di attività malevola del gruppo Evilnum è rivolta a entità europee nei servizi di migrazione internazionale. I ricercatori di Zscaler riportano che l’arsenale del gruppo Evilnum utilizzato in questi attacchi differisce da quello usato in campagne precedenti. Gli attori delle minacce hanno utilizzato documenti MS Office Word armati, consegnati tramite email di spear phishing, per distribuire payload dannosi sui dispositivi target.

Le prove suggeriscono che i payload siano stati decrittati e rilasciati utilizzando un JavaScript insolitamente altamente offuscato. Il binario viene eseguito da un’operazione pianificata creata durante l’esecuzione di JavaScript. L’attore della minaccia ha selezionato con attenzione i nomi di ogni artefatto del file system generato durante l’esecuzione per imitare autenticamente Windows e altri binari legittimi di terze parti. Gli hacker di Evilnum riescono a ottenere persistenza all’interno dei sistemi compromessi ed esfiltrare i dati delle vittime.

Per rilevare tempestivamente le violazioni della sicurezza, sfrutta i benefici della ciberdifesa collaborativa unendoti alla nostra comunità globale di cybersicurezza su la piattaforma di SOC Prime’s Detection as Code . Approfitta di rilevamenti accurati e tempestivi forniti da professionisti esperti da tutto il mondo per rimanere aggiornato sulla caccia alle minacce, potenziare le operazioni del tuo team SOC e stabilire posture di difesa approfondita.