Le operazioni del gruppo Evilnum sono state scoperte per la prima volta nel 2018. Il gruppo è fortemente concentrato sugli attacchi alle grandi organizzazioni di tecnologia finanziaria, specialmente sulle piattaforme di investimento e sulle aziende legate alle criptovalute. La maggior parte dei loro obiettivi si trova in Europa e nel Regno Unito, ma il gruppo ha anche condotto attacchi separati su organizzazioni in Canada e Australia. I ricercatori attribuiscono questa geografia al fatto che la maggior parte delle aziende attaccate ha uffici in diversi paesi, e gli aggressori scelgono quello meno protetto.
Evilnum utilizza spesso LOLBins e strumenti comuni che possono essere acquistati nei forum underground, complicando l’attribuzione degli attacchi. Investigando sugli attacchi recenti, i ricercatori hanno scoperto un nuovo malware nell’arsenale del gruppo – un Trojan di accesso remoto scriptato in Python chiamato PyVil RAT. Il trojan è modulare e può scaricare nuovi moduli che ne espandono le funzionalità. PyVil RAT può agire come un keylogger ed è in grado di eseguire ricognizioni, scattare screenshot, eseguire comandi cmd, aprire una shell SSH e installare strumenti dannosi aggiuntivi.
Ariel Millahuel ha rilasciato una nuova regola di caccia alle minacce della comunità che aiuta a scoprire tracce di PyVil RAT nella rete di un’organizzazione e interrompere le attività di spionaggio del gruppo Evilnum: https://tdm.socprime.com/tdm/info/YgyDYAROBUOq/iYKSaHQBPeJ4_8xclmRF/?p=1
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Esecuzione, Evasione della Difesa
Tecniche: Interfaccia della riga di comando (T1059), File o Informazioni Offuscati (T1027)
Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al programma Threat Bounty per creare i tuoi contenuti e condividerli con la comunità TDM.
