至少从2018年起就一直攻击金融科技行业的APT 组织 Evilnum,开始使用一款新型的基于 Python 的远程访问木马,窃取密码、文档、浏览器 cookie、邮件凭据和其它敏感信息。
Cybereason 公司发布分析报告指出,Evilnum APT 组织不仅修改感染链,而且还部署了Python RAT 脚本 :PyVil RAT,它能够收集信息、截取屏幕、抓取击键数据、打开 SSH shell 并部署新工具。该公司分析指出,从2018年至今,该组织的 TTPs 不断发展,包含很多不同工具,但其攻击目标仍然是金融科技公司。这种多变性体现在感染链和持久性的变化、不断扩展的新型基础设施以及使用新的Python脚本RAT。在过去两年中,Evilnum 组织和美国以及欧盟地区发生的多起恶意软件活动有关,其中牵涉以 JavaScript 和 C# 编写的后门以及购买自恶意软件即服务提供商 Golden Chickens 的工具。
今年7月份,该APT组织通过包含托管在 Google Drive 上的一个 ZIP 文件链接的鱼叉式钓鱼邮件窃取软件许可证、客户信用卡信息以及投资和交易文档。虽然获得受陷系统立足点的运营模式仍然不变,但其感染程序已发生重大变化。除了使用含有虚假文档的鱼叉式钓鱼邮件诱骗金融科技公司员工触发恶意软件外,攻击者还从使用具有后门能力的基于 JavaScript 的木马转向 bear-bonesJavascript 释放器交付隐藏在已修改的可执行文件中的恶意 payload,以逃避检测。研究人员指出,“该 JavaScript 是新型感染链的第一个阶段,最终以payload 的传递为最终结果。该 payload 是用 py2exe编译的 Python RAT,被 Nocturnus 公司的研究人员称为 PyVil RAT。”
这个多进程传播过程 (“ddpp.exe”) 在执行时,解压缩 shellcode,与攻击者控制的服务器建立通信,并接收第二个加密的可执行文件 (“fplayer.exe”)。该文件用作下一阶段的下载程序,提取 Python RAT。研究人员表示,“在过去的攻击活动中,Evilnum 组织避免使用域名和 C2 进行通信,而是仅使用 IP 地址。虽然 C2 IP 地址每隔几周就会变更,但和该 IP 地址相关联的域名在不断增加。”
虽然 Evilnum 组织的真正来源尚不清楚,但显然不断改进的 TTPs 使其未被检测到。随着该组织的技术不断发展,企业应该保持警醒,员工应该检测邮件中是否存在钓鱼尝试,并在打开来源未知的邮件和附件时保持谨慎。
https://thehackernews.com/2020/09/evilnum-hackers.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~