PyVil RAT del Gruppo Evilnum

Ultime Minacce

Settembre 09, 2020

2 min di lettura

PyVil RAT del Gruppo Evilnum

Eugene Tkachenko
Eugene Tkachenko Responsabile Programma Comunitario linkedin icon Segui

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Le operazioni del gruppo Evilnum sono state scoperte per la prima volta nel 2018. Il gruppo è fortemente concentrato sugli attacchi alle grandi organizzazioni di tecnologia finanziaria, specialmente sulle piattaforme di investimento e sulle aziende legate alle criptovalute. La maggior parte dei loro obiettivi si trova in Europa e nel Regno Unito, ma il gruppo ha anche condotto attacchi separati su organizzazioni in Canada e Australia. I ricercatori attribuiscono questa geografia al fatto che la maggior parte delle aziende attaccate ha uffici in diversi paesi, e gli aggressori scelgono quello meno protetto. 

Evilnum utilizza spesso LOLBins e strumenti comuni che possono essere acquistati nei forum underground, complicando l’attribuzione degli attacchi. Investigando sugli attacchi recenti, i ricercatori hanno scoperto un nuovo malware nell’arsenale del gruppo – un Trojan di accesso remoto scriptato in Python chiamato PyVil RAT. Il trojan è modulare e può scaricare nuovi moduli che ne espandono le funzionalità. PyVil RAT può agire come un keylogger ed è in grado di eseguire ricognizioni, scattare screenshot, eseguire comandi cmd, aprire una shell SSH e installare strumenti dannosi aggiuntivi. 

Ariel Millahuel ha rilasciato una nuova regola di caccia alle minacce della comunità che aiuta a scoprire tracce di PyVil RAT nella rete di un’organizzazione e interrompere le attività di spionaggio del gruppo Evilnum: https://tdm.socprime.com/tdm/info/YgyDYAROBUOq/iYKSaHQBPeJ4_8xclmRF/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Esecuzione, Evasione della Difesa

Tecniche: Interfaccia della riga di comando (T1059), File o Informazioni Offuscati (T1027)

 

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al programma Threat Bounty per creare i tuoi contenuti e condividerli con la comunità TDM.

 

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Ultime Minacce Articles

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Zahorulko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Zahorulko Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware 4 min di lettura Ultime Minacce Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware by Veronika Zahorulko