Evilnum黑客用一种新的基于Python的RAT攻击金融公司

至少自2018年以来，一家以瞄准金融科技行业而闻名的对手已改变策略，加入了一种新的基于Python的远程访问特洛伊木马（RAT），该木马可以窃取密码、文档、浏览器cookie、电子邮件凭据和其他敏感信息。

在Cybereason研究人员昨天发布的一份分析中，Evilnum集团不仅调整了其感染链，还部署了一种名为“PyVil鼠”的Python鼠，它具有收集信息、截屏、捕获击键数据、打开SSH外壳和部署新工具的能力。

这家网络安全公司表示：“自2018年发布第一份报告以来，该集团的TTP一直在使用不同的工具发展，而该集团一直专注于fintech目标。”。

“这些变化包括感染链和持久性链的变化，随着时间的推移不断扩展的新基础设施，以及使用新的Python脚本远程访问特洛伊木马（RAT）”来监视其受感染的目标。

在过去两年中，Evilnum与针对英国和欧盟公司的几起恶意软件活动有关，涉及用JavaScript和C#编写的后门，以及通过从恶意软件即服务提供商Golden Chicks购买的工具。


早在今年7月，APT集团就被发现以公司为目标，通过spear网络钓鱼邮件窃取软件许可证、客户信用卡信息、投资和交易文件，这些邮件中包含指向Google Drive上托管的ZIP文件的链接。

虽然在受损系统中获得初始立足点的操作方式保持不变，但感染程序发生了重大变化。

除了使用带有虚假“了解你的客户”（know your customer，KYC）文档的矛式网络钓鱼电子邮件欺骗金融业员工触发恶意软件，这些攻击已经从使用具有后门功能的基于JavaScript的特洛伊木马，转变为一个简单的JavaScript滴管，该滴管提供隐藏在合法可执行文件修改版本中的恶意有效载荷，以逃避检测。

研究人员说：“这个JavaScript是这个新感染链的第一个阶段，随着有效负载的交付而达到高潮，这是一个用py2exe编译的Python编写的RAT，夜行鼠研究人员称之为PyVil RAT。”。


多进程交付过程（“ddpp.exe”）在执行时，会解压外壳代码，以与攻击者控制的服务器建立通信，并接收第二个加密的可执行文件（“fplayer.exe”），该文件作为下一阶段下载程序来获取Python RAT。

研究人员指出：“在该组织之前的活动中，Evillnum的工具避免在与C2通信时使用域，只使用IP地址。”。“虽然C2 IP地址每隔几周就会更改一次，但与此IP地址相关的域列表仍在不断增加。”


虽然Evilnum的确切起源仍不清楚，但很明显，他们不断即兴创作的TTP帮助他们保持低调。

随着APT技术的不断发展，企业必须保持警惕，员工必须监控其电子邮件是否存在网络钓鱼企图，并在打开未知发件人的电子邮件和附件时保持谨慎。