Accueil > Nouvelles Cyber > Evilnum Hacking Group utilise des outils fabriqués par Cobalt, FIN6 et autres
CYBER NOUVELLES

Evilnum Hacking Group utilise des outils fabriqués par Cobalt, FIN6 et autres

Le groupe de piratage Evilnum utilise des outils de piratage avancés d'autres collectifs criminels bien connus comme Cobalt, FIN6 et autres. Ce groupe de piratage en particulier a mené des campagnes à fort impact dans le passé et est actif depuis au moins 2018 lorsque leurs premières attaques majeures ont été détectées.




Outils de piratage avancés par Cobalt, FIN6 et d'autres sont maintenant utilisés par les pirates Evilnum

La Les pirates Evilnum ont été repérés pour mener une autre grande campagne contre des cibles du monde entier. Traditionnellement, ils ont organisé des attaques contre organisations et sociétés financières y compris les startups fintech modernes, ainsi que des plateformes de trading et d'investissement en ligne. Le principal objectif des criminels est de accéder à des données financières sensibles sur les serveurs. Le type suivant semble être au centre des pirates:

  • Documents et feuilles de calcul contenant des opérations d'investissement et de négociation
  • Présentations contenant les opérations internes de l'entreprise
  • Informations d'identification du logiciel de trading, comptes et licences
  • Cookies Google Chrome et informations de session
  • Données de connexion pour les comptes de messagerie
  • Données de carte de paiement des utilisateurs privés et preuve d'identité

Les attaques sont faites par envoi d'e-mails de phishing qui sont préparés en vrac et envoyés aux utilisateurs cibles. Des tactiques courantes sont suivies, telles que l'emprunt d'identité de services et d'entreprises célèbres: notifications, des newsletters et d'autres types de contenus seront préparés par les pirates. Dans ces e-mails Fichiers de raccourci LNK sera attaché qui prétend être des fichiers image - cela se fait en utilisant le technique de double extension cachée — un fichier sera masqué comme un seul type de fichier, mais au lieu d'être d'un autre. Dans ce cas, lorsque les utilisateurs le démarrent, code JavaScript sera exécuté. Cette technique de livraison initiale démarre un fichier leurre puis supprime le LNK. Le fichier leurre est utilisé pour déployer le malware prévu.

Dans le cas du groupe Evilnum, divers logiciels malveillants qui ont été précédemment développés et / ou utilisés par Cobalt, FIN6 et d'autres criminels sont livrés en utilisant cette approche.

en relation: [wplinkpreview url =”https://sensorstechforum.com/15-billion-user-credentials-hacker-forums/”] Statistiques folles: 15 Milliards d'informations d'identification d'utilisateur à vendre sur les forums de hackers - Retirez-le

Comment les outils de piratage bien connus sont utilisés par le gang Evilnum

Une coutume module d'espionnage appelé Evilnum est présenté dans la campagne détectée qui est utilisée pour espionner les victimes lorsqu'elle est exécutée. Plusieurs Python des scripts et des outils basés sur des logiciels malveillants sont également utilisés pendant les échantillons détectés. L’un des logiciels malveillants les plus remarquables est l’utilisation Logiciel malveillant Golden Chicken — une Malware-as-a-service (MaaS). Il s'agit d'un ensemble d'outils de piratage utilisé par divers criminels qui est acheté comme un service d'abonnement.

Afin de rendre plus difficile le suivi de l'activité des logiciels malveillants, les serveurs de commande et de contrôle n'ont pas de noms de domaine, mais sont définis dans le virus comme IP directes. La liste est tirée de sources telles que GitHub, GitLab et Reddit — ils sont maintenus par les pirates utilisant des comptes spécialement créés à cet effet. La liste complète des logiciels malveillants qui est déployé montre que les virus suivants seront utilisés par les pirates Evilnum:

  • TerraRecon — Un outil de piratage de collecte d'informations programmé pour rechercher des instances matérielles et logicielles spécifiques. Le malware se concentre sur le ciblage des fournisseurs et des appliances de vente au détail et de paiement.
  • TerraStealer — Ceci est un voleur d'informations qui est également connu sous le nom de ZONE ou StealerOne VenomLNK qui est supposé faire partie de la Kit VenomKit.
  • TerraWiper — Il s'agit d'un outil dangereux conçu pour supprimer le Master Boot Record (MBR). Une fois cela fait, les victimes ne pourront pas démarrer correctement leur ordinateur.
  • TerraCrypt — Il s'agit d'un ransomware dangereux qui est également connu sous le nom de PureLocker qui cryptera les fichiers d'utilisateurs cibles avec un chiffrement fort, puis fera chanter et extorquer les victimes pour un paiement en crypto-monnaie. Ce ransomware est compatible avec tous les systèmes d'exploitation de bureau modernes: Microsoft Windows, macOS et Linux.
  • TerraTV — Ce malware va détourner les applications TeamViewer.
  • lite_more_eggs — Ceci est une version réduite d'un chargeur de malware.

Il est évident que de telles attaques complexes continueront d'être organisées contre des cibles à fort impact.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord