이빌넘 해킹 그룹, 유럽 이주 기관 대상 스피어 피싱 공격으로 다시 등장

Evilnum 해커의 작전은 2020년 이후 보안 분석가들에 의해 면밀히 관찰되어 왔으며, 위협 행위자의 활동은 2018년까지 거슬러 올라갑니다. 이 APT 그룹은 주로 유럽의 핀테크 부문에 대한 공격과 관련이 있으며, 종종 금융적 동기를 가진 그룹으로 분류됩니다. 소식통에 따르면, 국제 이주 서비스를 대상으로 한 최신 스피어 피싱 캠페인은 2022년 2월 러시아의 우크라이나 침공이 대대적으로 확대되면서 여러 매개변수와 일치했다고 주장했습니다.

Evilnum APT 그룹의 기원은 여전히 ​​불확실합니다. 하지만 여러 증거는 이 해커들이 Ghostwriter라는 이름으로 불리는 벨라루스 사이버 침입 활동 클러스터와 연계된 스파이 작전에 관여하고 있을 가능성을 시사합니다.

Evilnum의 활동 탐지

Evilnum APT에 대한 선제적 방어를 위해 SOC Prime은 통찰력 있는 Threat Bounty 개발자가 개발한 고유한 맥락이 풍부한 Sigma 규칙을 출시했습니다. Onur Atali:

cmdline을 통한 관련 명령어 탐지를 통한 Evilnum APT 실행 가능성

탐지 규칙은 SOC Prime의 플랫폼이 지원하는 다음과 같은 업계 선도 SIEM, EDR, XDR 기술과 호환됩니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, AWS OpenSearch.

이 규칙은 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 주된 기술로 Command and Scripting Interpreter (T1059; T1059.001)를 다루는 Execution 전술을 다루고 있습니다.

막대한 사이버 위협 탐지 콘텐츠 라이브러리에 액세스하려면 Detect & Hunt 버튼을 누르세요. 모든 규칙은 MITRE ATT&CK 프레임워크에 매핑되고 철저히 검토 및 검증됩니다. Explore Threat Context 버튼은 최신 콘텐츠 업데이트와 관련 위협 컨텍스트를 공개합니다.

Detect & Hunt Explore Threat Context

Evilnum 그룹 분석

Evilnum의 최신 악의적 활동 파동은 국제 이주 서비스의 유럽 기관을 목표로 합니다. Zscaler의 연구원들은 Evilnum 그룹의 이번 공격에 사용된 무기고가 이전 캠페인과는 다르다고 보고합니다. 위협 행위자는 스피어 피싱 이메일을 통해 전송된 무기화된 MS Office Word 문서를 사용하여 대상 장치에 악성 페이로드를 배포했습니다.

증거에 따르면 페이로드는 흔치 않게 고도로 난독화된 JavaScript를 사용하여 복호화되고 드랍되었습니다. 바이너리는 JavaScript 실행 중 생성된 예약 작업에 의해 실행됩니다. 위협 행위자는 Windows 및 다른 합법적인 타사 바이너리를 모방하기 위한 모든 파일 시스템 아티팩트의 이름을 신중하게 선택했습니다. Evilnum 해커는 손상된 시스템 내에서 지속성을 달성하고 피해자의 데이터를 탈취합니다.

보안 위반을 적시에 탐지하기 위해 SOC Prime의 Detection as Code 플랫폼에 가입하여 글로벌 사이버 보안 커뮤니티의 협력 사이버 방어 이점을 활용하십시오. 세계 각지의 경험이 풍부한 전문가들이 제공하는 정확하고 시기적절한 탐지를 통해 위협 수색에 대해 최신 정보를 습득하고 SOC 팀의 운영을 강화하며 심층 방어 자세를 확립하세요.