EvilnumグループによるPyVil RAT

[post-views]
9月 09, 2020 · 3 分で読めます
EvilnumグループによるPyVil RAT

Evilnumグループの活動は2018年に初めて発見されました。このグループは、大規模なフィンテック組織、特に投資プラットフォームや暗号通貨関連企業への攻撃に非常に集中しています。ターゲットの多くはヨーロッパとイギリスに位置していますが、カナダやオーストラリアの組織に対しても別個の攻撃を行いました。研究者たちは、この地理的特徴を、攻撃された会社のほとんどが複数の国にオフィスを持っており、攻撃者が最も防御が弱いオフィスを選んでいるためだと考えています。 

EvilnumはしばしばLOLBinsや地下フォーラムで購入できる一般的なツールを使用するため、攻撃の帰属を複雑にします。最近の攻撃を調査する中で、研究者たちはこのグループの兵器庫に新たなマルウェアを発見しました。これはPythonでスクリプト化されたリモートアクセス型トロイの木馬で、PyVil RATという名前が付けられています。このトロイの木馬はモジュラー式で、新しいモジュールをダウンロードして機能を拡張することができます。PyVil RATはキーロガーとして機能し、偵察を行い、スクリーンショットを撮り、cmdコマンドを実行し、SSHシェルを開き、追加の悪質なツールをインストールすることができます。 

アリエル・ミリャウェル は、組織のネットワーク内でPyVil RATの痕跡を明らかにし、Evilnumグループのスパイ活動を妨害するのに役立つ新しいコミュニティの脅威ハンティングルールを発表しました。 https://tdm.socprime.com/tdm/info/YgyDYAROBUOq/iYKSaHQBPeJ4_8xclmRF/?p=1

このルールは以下のプラットフォームに対して翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

戦術: 実行, 防御回避

技術: コマンドラインインターフェイス (T1059), ファイルや情報の難読化 (T1027)

 

SOC Prime TDMを試してみますか? 無料でサインアップ。または Threat Bounty Programに参加し 自分自身のコンテンツを作成し、TDMコミュニティと共有してください。

 

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事

実行戦術 | TA0002
ブログ, 最新の脅威 — 11 分で読めます
実行戦術 | TA0002
Daryna Olyniychuk
JSOutProx RAT
ブログ, 最新の脅威 — 4 分で読めます
JSOutProx RAT
Eugene Tkachenko