As operações do grupo Evilnum foram descobertas pela primeira vez em 2018. O grupo é altamente focado em ataques a grandes organizações de tecnologia financeira, especialmente em plataformas de investimento e empresas relacionadas a criptomoedas. A maioria de seus alvos está localizada na Europa e no Reino Unido, mas o grupo também realizou ataques separados a organizações no Canadá e na Austrália. Os pesquisadores atribuem essa geografia ao fato de que a maioria das empresas atacadas possui escritórios em vários países, e os atacantes escolhem aquele que está menos protegido.
O Evilnum frequentemente utiliza LOLBins e ferramentas comuns que podem ser compradas em fóruns clandestinos, o que complica a atribuição dos ataques. Investigando ataques recentes, os pesquisadores descobriram um novo malware no arsenal do grupo – um Trojan de Acesso Remoto programado em Python chamado PyVil RAT. O trojan é modular e pode baixar novos módulos que expandem suas funcionalidades. O PyVil RAT pode atuar como um keylogger e é capaz de realizar reconhecimento, tirar capturas de tela, executar comandos cmd, abrir um shell SSH e instalar ferramentas maliciosas adicionais.
Ariel Millahuel lançou uma nova regra de caça a ameaças comunitárias que ajuda a descobrir vestígios do PyVil RAT na rede de uma organização e interromper as atividades de espionagem do grupo Evilnum: https://tdm.socprime.com/tdm/info/YgyDYAROBUOq/iYKSaHQBPeJ4_8xclmRF/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Execução, Evasão de Defesa
Técnicas: Interface de Linha de Comando (T1059), Arquivos ou Informações Ofuscadas (T1027)
Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente. Ou junte-se ao Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
