Evilnum Hacking Group Resurfaces With Spear Phishing Attacks on European Migration Organizations

Evilnumハッカーの活動は2020年以来、セキュリティアナリストによって綿密に監視されており、脅威アクターの活動は早くも2018年に遡ることができました。このAPTグループは主にヨーロッパのフィンテックセクターへの攻撃と関連付けられ、しばしば金銭的動機のあるグループとして分類されています。情報源によると、国際移動サービスを標的にする最近のスピアフィッシングキャンペーンは、2022年2月のロシアによるウクライナ侵攻の大規模エスカレーションと多くのパラメータで一致していました。

Evilnum APTグループの起源はまだ不明です。しかし、証拠は、このハッカーがGhostwriterと呼ばれるベラルーシのサイバー侵入活動クラスターに関連するスパイ活動に関与している可能性があることを示唆しています。

Evilnumの活動を検出する

Evilnum APTに対してプロアクティブに防御するために、SOC Primeはパースピカシアスが開発した一意でコンテキスト豊富なSigmaルールをリリースしました。 Threat Bounty 開発者 Onur Atali:

関連コマンドの検出によるEvilnum APT実行の可能性（cmdline経由）

この検出ルールは、SOC Primeのプラットフォームでサポートされている以下の業界をリードするSIEM、EDR、およびXDR技術と互換性があります: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, AWS OpenSearch。

このルールは MITRE ATT&CK® フレームワークv.10に整合しており、実行 の戦術をメイン技術としてCommand and Scripting Interpreter (T1059; T1059.001)で対処します。

をクリックして Detect & Hunt ボタンをクリックして、膨大なサイバー脅威検出コンテンツのライブラリにアクセスしてください。すべてのルールはMITRE ATT&CKフレームワークにマッピングされ、徹底的にキュレートされ、確認されています。 Explore Threat Context ボタンをクリックすると、最新のコンテンツアップデートと関連する脅威コンテキストが表示されます。

Detect & Hunt Explore Threat Context

Evilnumグループの分析

Evilnumの悪意のある活動の最新の波は、国際移動サービスの欧州の組織を対象としています。 Zscalerの研究者たち は、これらの攻撃に使用されたEvilnumグループの兵器は、以前のキャンペーンで使用されたものと異なると報告しています。脅威アクターは、標的デバイスに悪意のあるペイロードを展開するために、スピアフィッシングメールを介して配信された武器化されたMS Office Wordドキュメントを使用しました。

証拠は、ペイロードが非常に難読化されたJavaScriptを使用して復号およびドロップされていることを示唆しています。このバイナリは、JavaScriptの実行中に作成されたスケジュールタスクによって実行されます。脅威アクターは、実行中に生成されたすべてのファイルシステムアーティファクトの名前を慎重に選定し、Windowsやその他の正当なサードパーティ製バイナリを模倣するようにしました。Evilnumのハッカーは、侵入したシステム内で永続性を達成し、被害者のデータを抽出します。

セキュリティ違反をタイムリーに検出するために、当社のグローバルサイバーセキュリティコミュニティに参加し、協働型サイバー防御の恩恵を活用してください。 SOC PrimeのDetection as Code プラットフォームで、世界中の経験豊富な専門家によって提供される正確でタイムリーな検出を利用し、脅威のハンティングについて最新情報を入手し、SOCチームの運用を強化し、防御の深度を確立してください。