至少自2018年以來，一家以金融科技行業(yè)為目標(biāo)的攻擊者改變了策略，加入了一種新的基于Python的遠(yuǎn)程訪問特洛伊木馬（RAT），該木馬可以竊取密碼、文檔、瀏覽器cookie、電子郵件憑據(jù)和其他敏感信息。

在Cyber eason研究人員昨天發(fā)表的一項(xiàng)分析中，Evilnum不僅調(diào)整了其感染鏈，而且還部署了一個名為“ PyVil RAT”的Python RAT，它具有收集信息，截屏，捕獲擊鍵數(shù)據(jù)，打開SSH shell的功能，并且部署了新工具。

網(wǎng)絡(luò)安全公司表示：“從2018年的第一份報告到今天，該集團(tuán)的TTP已經(jīng)隨著不同的工具而發(fā)展，而集團(tuán)繼續(xù)專注于金融科技目標(biāo)?！薄?/p>

“這些變化包括感染鏈和持久性的改變，隨著時間的推移正在擴(kuò)展的新基礎(chǔ)設(shè)施，以及使用新的Python腳本遠(yuǎn)程訪問木馬（RAT）”來監(jiān)視其受感染的目標(biāo)。

在過去的兩年中，Evilnum與針對英國和歐盟范圍內(nèi)的公司的幾次惡意軟件攻擊活動有關(guān)，這些惡意軟件攻擊活動涉及使用JavaScript和C＃編寫的后門程序，以及通過從惡意軟件服務(wù)提供商Golden Chickens購買的工具。

早在7月，APT小組就被定位為使用魚叉式網(wǎng)絡(luò)釣魚電子郵件的公司，這些電子郵件包含指向托管在Google云端硬盤上的ZIP文件的鏈接，以竊取軟件許可證，客戶信用卡信息以及投資和交易文件。

雖然他們在受感染系統(tǒng)中獲得最初立足點(diǎn)的作案手法保持不變，但感染程序已發(fā)生重大變化。

除了使用帶有假冒的魚叉式網(wǎng)絡(luò)釣魚電子郵件（KYC）來誘騙金融業(yè)員工觸發(fā)惡意軟件外，攻擊還從使用具有后門功能的基于JavaScript的特洛伊木馬轉(zhuǎn)移到了能夠提供隱藏在合法可執(zhí)行文件的修改版本中的惡意有效載荷，旨在逃避檢測。

研究人員說：“JavaScript是這個新感染鏈的第一步，最終以有效載荷的傳遞為最終結(jié)果，該載荷是用py2exe編譯的Python編寫的RAT，Nocturnus研究人員稱其為PyVil RAT?！?/p>

多進(jìn)程傳遞過程（“ ddpp.exe”）在執(zhí)行時，解壓縮shellcode以便與攻擊者控制的服務(wù)器建立通信，并接收第二個加密的可執(zhí)行文件（“ fplayer.exe”），該文件用作下一階段的下載程序以進(jìn)行提取Python RAT。

研究人員指出：“在該小組的先前活動中，Evilnum的工具避免使用域與C2進(jìn)行通信，而僅使用IP地址?！?“雖然C2 IP地址每隔幾周更改一次，但與此IP地址關(guān)聯(lián)的域列表卻在不斷增長?！?/p>

隨著APT技術(shù)的不斷發(fā)展，企業(yè)必須保持警惕，員工要警惕他們的電子郵件是否存在網(wǎng)絡(luò)釣魚企圖，并在打開來自未知發(fā)件人的電子郵件和附件時保持謹(jǐn)慎。

稿源：HackerNews.cc

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/