Thứ Tư, Tháng Chín 16, 2020
Bảo mậtTin tức

Tin tặc Evilnum nhắm mục tiêu vào các công ty tài chính bằng RAT mới dựa trên Python

2views

Một đối thủ được biết đến với việc nhắm mục tiêu vào lĩnh vực fintech kể từ năm 2018 đã chuyển đổi chiến thuật của mình bao gồm một Trojan truy cập từ xa (RAT) dựa trên Python mới có thể ăn cắp mật khẩu, tài liệu, cookie trình duyệt, thông tin đăng nhập email và các thông tin nhạy cảm khác.

Trong một phân tích được các nhà nghiên cứu Cybereason công bố ngày hôm qua, nhóm Evilnum không chỉ tinh chỉnh chuỗi lây nhiễm của mình mà còn triển khai Python RAT có tên “PyVil RAT”, có khả năng thu thập thông tin, chụp ảnh màn hình, thu thập dữ liệu tổ hợp phím, mở SSH shell. và triển khai các công cụ mới. 

Công ty an ninh mạng cho biết: “Kể từ báo cáo đầu tiên vào năm 2018 cho đến ngày hôm nay, các TTP của nhóm đã phát triển với các công cụ khác nhau trong khi nhóm tiếp tục tập trung vào các mục tiêu fintech” .

“Các biến thể này bao gồm sự thay đổi trong chuỗi lây nhiễm và sự tồn tại, cơ sở hạ tầng mới đang mở rộng theo thời gian và việc sử dụng Trojan Truy cập Từ xa (RAT) mới được viết theo kịch bản Python” để theo dõi các mục tiêu bị lây nhiễm. Trong hai năm qua, Evilnum đã liên kết với một số chiến dịch phần mềm độc hại chống lại các công ty trên khắp Vương quốc Anh và EU liên quan đến các cửa hậu được viết bằng JavaScript và C # cũng như thông qua các công cụ được mua từ nhà cung cấp phần mềm độc hại là Golden Chi Chicken .

phần mềm độc hại web

Vào tháng 7, nhóm APT bị phát hiện nhắm mục tiêu vào các công ty có email lừa đảo trực tuyến chứa liên kết đến tệp ZIP được lưu trữ trên Google Drive để lấy cắp giấy phép phần mềm, thông tin thẻ tín dụng của khách hàng cũng như các tài liệu đầu tư và giao dịch.

Trong khi phương thức hoạt động để đạt được chỗ đứng ban đầu trong hệ thống bị xâm nhập vẫn giữ nguyên, quy trình lây nhiễm đã chứng kiến ​​một sự thay đổi lớn. Bên cạnh việc sử dụng email lừa đảo trực tuyến với giả mạo biết khách hàng của bạn (KYC) tài liệu để lừa nhân viên của ngành tài chính kích hoạt phần mềm độc hại, các cuộc tấn công đã chuyển từ việc sử dụng Trojan dựa trên JavaScript có khả năng tạo cửa hậu sang một công cụ JavaScript đơn giản cung cấp các tải trọng độc hại ẩn trong các phiên bản sửa đổi của tệp thực thi hợp pháp nhằm cố gắng phát hiện thoát hiểm.

Các nhà nghiên cứu cho biết: “JavaScript này là giai đoạn đầu tiên trong chuỗi lây nhiễm mới này, với đỉnh điểm là việc phân phối tải trọng, một RAT viết bằng Python được biên dịch với py2exe mà các nhà nghiên cứu của Nocturnus đặt tên là PyVil RAT”.

Quy trình phân phối (“ddpp.exe”), khi thực thi, giải nén shellcode để thiết lập giao tiếp với máy chủ do kẻ tấn công kiểm soát và nhận tệp thực thi được mã hóa thứ hai (“fplayer.exe”) có chức năng như trình tải xuống giai đoạn tiếp theo để tìm nạp RAT Python.

Các nhà nghiên cứu lưu ý: “Trong các chiến dịch trước đây của nhóm, các công cụ của Evilnum đã tránh sử dụng tên miền trong giao tiếp với C2, chỉ sử dụng địa chỉ IP”. “Trong khi địa chỉ IP C2 thay đổi vài tuần một lần, danh sách các miền được liên kết với địa chỉ IP này vẫn tiếp tục tăng lên.”

hacking-site

Trong khi nguồn gốc chính xác của Evilnum vẫn chưa rõ ràng, khả năng ứng biến TTP liên tục của họ đã giúp họ nằm trong tầm ngắm.

Khi các kỹ thuật của APT tiếp tục phát triển, điều cần thiết là các doanh nghiệp phải cảnh giác và nhân viên giám sát email của họ để tìm các nỗ lực lừa đảo và thận trọng khi mở email và tệp đính kèm từ những người gửi không xác định.

Leave a Response