هکرهای Evilnum شرکت های مالی را با تروجان پایتون هدف قرار می دهند
593 بازدید
یک هکر شناخته شده برای هدف قرار دادن بخش fintech از سال ۲۰۱۸ تاکتیک های خود را تغییر داده است این تغییرات شامل یک تروجان (Trojan) جدید دسترسی از راه دور مبتنی بر (Python (RAT است که می تواند رمزهای عبور، اسناد، کوکی های مرورگر، اطلاعات ایمیل و سایر اطلاعات حساس را بدزدد. در تحلیلی که روز گذشته توسط محققان Cybereason منتشر شد، گروه Evilnum یک Python RAT به نام PyVil RAT را مستقر کرده است که توانایی جمع آوری اطلاعات، عکس گرفتن از صفحه، ضبط اطلاعات کلیدها، باز کردن پوسته SSH و استفاده از ابزارهای جدید است.
این شرکت امنیت سایبری گفت : از زمان اولین گزارش ها در سال ۲۰۱۸ تا امروز ، TTP های این گروه با ابزارهای مختلف تکامل یافته اند در حالی که همچنان بر روی اهداف fintech تمرکز کرده اند. این تغییرات شامل ایجاد زیرساخت های جدید، که با گذشت زمان در حال گسترش است و استفاده از (Trojan Access Remote (RAT با اسکریپت Python جدید برای جاسوسی در اهداف آلوده خود است.
طی دو سال گذشت Evilnum به چندین کمپین بدافزار علیه شرکت های سراسر انگلستان و اتحادیه اروپا مرتبط شده است که شامل درهای پشتی نوشته شده در JavaScript و C# و همچنین از طریق ابزارهای خریداری شده از شرکت ارائه دهنده خدمات بدافزار به عنوان سرویس Golden Chickens است.
در ماه ژوئیه، مشخص شد که گروه APT، شركت هایی را با نامه های spear-phishing كه حاوی پیوند به یك فایل ZIP میزبان شده در Google Drive برای سرقت مجوزهای نرم افزار، اطلاعات كارت اعتباری مشتری و سرمایه گذاری و اسناد تجارت است را هدف قرار می دهد. در حالی که روش عملکرد به دست آوردن جایگاه اولیه در سیستم به خطر افتاده همان است، روش آلوده شدن شاهد یک تغییر عمده است. علاوه بر استفاده از نامه های جعلی فیشینگ با داشتن اسناد جعلی از مشتری خود (KYC) برای فریب کارکنان صنعت مالی برای ایجاد بدافزار ، حملات از استفاده از تروجان های جاوا اسکریپت با قابلیت در پشتی به یک قطره چکان جاوا اسکریپت بدون استخوان منتقل شده است. محموله های مخرب مخفی شده در نسخه های اصلاح شده اجرایی قانونی در تلاش برای فرار از شناسایی هستند.
JavaScript اولین مرحله در زنجیره آلودگی جدید است که با تحویل محموله به اوج خود می رسد، RAT نوشته شده توسط Python با py2exe که محققان PyVil RAT آن را نامگذاری کرده اند.
روش تحویل چند فرآیند، پس از اجرا، کد پوستی را برای برقراری ارتباط با یک سرور کنترل شده توسط مهاجم و دریافت دومین کد اجرایی رمزگذاری شده باز می کند که به عنوان بارگیری کننده مرحله بعدی عمل می کند. در فعالیت های قبلی این گروه ، ابزار Evilnum با استفاده از دامنه در ارتباط با C2، فقط با استفاده از آدرس های IP جلوگیری می کرد. در حالی که آدرس IP C2 هر چند هفته تغییر می کند و لیست دامنه های مرتبط با این آدرس IP همچنان رشد می کند.
اگرچه ریشه های دقیق تروجان Evilnum هنوز نامشخص است، اما مشخص است که بداهه پردازی مداوم آنها در مورد TTP ها به آنها کمک کرده است که زیر رادار بمانند. با ادامه تکامل تکنیک های APT، ضروری است که مشاغل هوشیار باشند و کارمندان ایمیل های خود را کنترل کرده و هنگام باز کردن ایمیل ها و پیوست های ارسال کنندگان ناشناس احتیاط کنند.
امیدوارم از این مقاله آموزشی هم راضی بوده باشید و منتظر نظرات شما عزیزان هستم.??
هیچ دیدگاهی نوشته نشده است.