Evilnumグループの活動は2018年に初めて発見されました。このグループは、大規模なフィンテック組織、特に投資プラットフォームや暗号通貨関連企業への攻撃に非常に集中しています。ターゲットの多くはヨーロッパとイギリスに位置していますが、カナダやオーストラリアの組織に対しても別個の攻撃を行いました。研究者たちは、この地理的特徴を、攻撃された会社のほとんどが複数の国にオフィスを持っており、攻撃者が最も防御が弱いオフィスを選んでいるためだと考えています。
EvilnumはしばしばLOLBinsや地下フォーラムで購入できる一般的なツールを使用するため、攻撃の帰属を複雑にします。最近の攻撃を調査する中で、研究者たちはこのグループの兵器庫に新たなマルウェアを発見しました。これはPythonでスクリプト化されたリモートアクセス型トロイの木馬で、PyVil RATという名前が付けられています。このトロイの木馬はモジュラー式で、新しいモジュールをダウンロードして機能を拡張することができます。PyVil RATはキーロガーとして機能し、偵察を行い、スクリーンショットを撮り、cmdコマンドを実行し、SSHシェルを開き、追加の悪質なツールをインストールすることができます。
アリエル・ミリャウェル は、組織のネットワーク内でPyVil RATの痕跡を明らかにし、Evilnumグループのスパイ活動を妨害するのに役立つ新しいコミュニティの脅威ハンティングルールを発表しました。 https://tdm.socprime.com/tdm/info/YgyDYAROBUOq/iYKSaHQBPeJ4_8xclmRF/?p=1
このルールは以下のプラットフォームに対して翻訳されています:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術: 実行, 防御回避
技術: コマンドラインインターフェイス (T1059), ファイルや情報の難読化 (T1027)
SOC Prime TDMを試してみますか? 無料でサインアップ。または Threat Bounty Programに参加し 自分自身のコンテンツを作成し、TDMコミュニティと共有してください。
