Evilnum 그룹의 PyVil RAT

Evilnum 그룹의 작전은 2018년에 처음 발견되었습니다. 이 그룹은 대형 금융 기술 조직, 특히 투자 플랫폼과 암호화폐 관련 회사들에 대한 공격에 매우 집중하고 있습니다. 그들의 공격 대상은 대부분 유럽과 영국에 위치하고 있지만, 캐나다와 호주의 조직에 대해 별도의 공격도 수행했습니다. 연구자들은 이 지역을 대부분의 공격받은 회사들이 여러 나라에 사무실을 두고 있으며, 공격자들이 가장 보호가 덜 된 나라를 선택하기 때문인 것으로 보고 있습니다. 

Evilnum은 종종 LOLBins와 지하 포럼에서 구매할 수 있는 일반 도구를 사용하며, 이는 공격의 귀속을 복잡하게 만듭니다. 최근 공격을 조사하는 과정에서 연구자들은 이 그룹의 무기고에서 새로운 악성코드인 PyVil RAT라는 파이썬으로 스크립트된 원격 액세스 트로이목마를 발견했습니다. 이 트로이목마는 모듈식으로, 기능을 확장하는 새로운 모듈을 다운로드할 수 있습니다. PyVil RAT는 키로거로 작동할 수 있으며, 정찰 수행, 스크린샷 찍기, cmd 명령 실행, SSH 셸 열기, 추가 악성 도구 설치 등이 가능합니다. 

아리엘 밀라웰 PyVil RAT의 흔적을 조직 네트워크에서 발견하고 Evilnum 그룹의 스파이 활동을 방해하는 데 도움이 되는 새로운 커뮤니티 위협 사냥 규칙을 발표했습니다: https://tdm.socprime.com/tdm/info/YgyDYAROBUOq/iYKSaHQBPeJ4_8xclmRF/?p=1

규칙은 다음 플랫폼에 대한 번역이 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 방어 회피

기술: 명령줄 인터페이스 (T1059), 난독화된 파일 또는 정보 (T1027)

SOC Prime TDM을 시도해 볼 준비가 되었나요? 무료로 가입하세요. 또는 위협 현상금 프로그램에 참여하고 자신의 콘텐츠를 제작하여 TDM 커뮤니티와 공유하세요.