Grupo de Hackers Evilnum Ressurge com Ataques de Phishing Direcionados em Organizações de Migração Europeias

As operações dos hackers Evilnum têm sido observadas de perto por analistas de segurança desde 2020, com a atividade dos agentes de ameaça rastreada já em 2018. O grupo APT está predominantemente associado aos ataques ao setor FinTech na Europa, frequentemente classificado como um grupo com motivação financeira. Fontes afirmam que a campanha de spear phishing mais recente, voltada para serviços de migração internacional, coincidiu em vários parâmetros com a grande escalada da invasão russa na Ucrânia em fevereiro de 2022.

As origens do grupo Evilnum APT ainda são incertas. No entanto, evidências sugerem que os hackers podem estar envolvidos em operações de espionagem ligadas ao cluster bielorrusso de atividades de intrusão cibernética apelidado de Ghostwriter.

Detectar Atividade do Evilnum

Para defender proativamente contra o Evilnum APT, a SOC Prime lançou uma regra Sigma exclusiva e enriquecida com contexto, desenvolvida pelo perspicaz Threat Bounty desenvolvedor Onur Atali:

Possível Execução do Evilnum APT pela Detecção de Comandos Associados (via cmdline)

A regra de detecção é compatível com as seguintes tecnologias líderes de mercado em SIEM, EDR e XDR suportadas pela plataforma da SOC Prime: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.

A regra está alinhada com o MITRE ATT&CK® framework v.10, abordando a tática de Execução com o Interpretador de Comandos e Scripts (T1059; T1059.001) como a principal técnica.

Clique no botão Detect & Hunt para acessar uma vasta biblioteca de conteúdo de detecção de ameaças cibernéticas. Todas as regras são mapeadas no framework MITRE ATT&CK, cuidadosamente curadas e verificadas. O botão Explore Threat Context revelará as atualizações mais recentes de conteúdo e o contexto relevante de ameaças.

Detect & Hunt Explore Threat Context

Análise do Grupo Evilnum

Esta última onda de atividade maliciosa do Evilnum tem como alvo entidades europeias em serviços de migração internacional. Pesquisadores da Zscaler relatam que o arsenal do grupo Evilnum utilizado nesses ataques difere do usado em campanhas anteriores. Os agentes de ameaça usaram documentos do MS Office Word armados, entregues por e-mail de spear phishing, para implantar cargas maliciosas nos dispositivos alvo.

Evidências sugerem que as cargas foram descriptografadas e descartadas usando um JavaScript incomumente altamente ofuscado. O binário é executado por uma tarefa agendada criada durante a execução do JavaScript. O agente de ameaça selecionou cuidadosamente os nomes de cada artefato do sistema de arquivos gerado durante a execução para imitar binários legítimos do Windows e de terceiros. Os hackers Evilnum alcançam persistência em sistemas comprometidos e exfiltram dados das vítimas.

Para detectar violações de segurança de forma oportuna, aproveite os benefícios da defesa cibernética colaborativa juntando-se à nossa comunidade global de cibersegurança na plataforma SOC Prime’s Detection as Code . Obtenha detecções precisas e oportunas, entregues por profissionais experientes de todo o mundo, para se manter atualizado sobre a caça às ameaças, turbinar as operações da sua equipe SOC e estabelecer uma postura de defesa em profundidade.