EvilnumHackingGroupはCobalt製のツールを使用しています, FIN6およびその他

にマーティン・ベルトフ | Last Update: 7月 10, 2020 | 0 コメントコメント

Evilnumハッキンググループは、Cobaltのような他の有名な犯罪集団の高度なハッキングツールを使用していることが判明しています。, FIN6など. この特定のハッキンググループは、過去に影響力の大きいキャンペーンを実行しており、少なくとも 2018 彼らの最初の主要な攻撃が検出されたとき.

コバルトによる高度なハッキングツール, FIN6およびその他は現在Evilnumハッカーによって使用されています

The Evilnumハッカー 世界中からのターゲットに対して別の主要なキャンペーンを実行していることが発見されました. 伝統的に彼らはに対する攻撃を組織してきました 金融機関や企業 現代のフィンテックスタートアップを含む, だけでなく、オンライン取引と投資プラットフォーム. 犯罪者の主な目的は 機密性の高い財務データにアクセスする サーバー上. 次のタイプはハッカーの焦点であるように見えます:

投資および取引業務を含むドキュメントとスプレッドシート
社内業務を含むプレゼンテーション
取引ソフトウェアのクレデンシャル, アカウントとライセンス
GoogleChromeのCookieとセッション情報
メールアカウントのログインデータ
プライベートユーザーの支払いカードデータと身分証明書

攻撃はによって行われます フィッシングメールメッセージの送信 まとめて作成され、ターゲットユーザーに送信されます. 有名なサービスや企業のなりすましなど、一般的な戦術が採用されています: 通知, ニュースレターやその他の種類のコンテンツは、ハッカーによって作成されます. これらの電子メールメッセージで LNKショートカットファイル 画像ファイルを装った添付ファイルが添付されます–これは 隠された二重拡張技術 — ファイルは1つのファイルタイプとしてマスクされます, 代わりに別のものである. この場合、ユーザーがそれを開始すると JavaScriptコード 実行されます. この最初の配信手法では、おとりファイルを開始してからLNKを削除します. おとりファイルは、目的のマルウェアを展開するために使用されます.

Evilnumグループの場合、Cobaltによって以前に開発および/または使用されたさまざまなマルウェア, FIN6およびその他の犯罪者は、このアプローチを使用して配信されます.

関連している: [wplinkpreview url =”https://Sensorstechforum.com/150-billion-user-credentials-hacker-forums/”] クレイジー統計: 15 ハッカーフォーラムで販売されている10億のユーザークレデンシャル–削除する

有名なハッキングツールがEvilnumギャングによってどのように使用されているか

カスタム Evilnumと呼ばれるスパイモジュール 実行時に被害者をスパイするために使用される検出されたキャンペーンで紹介されています. 多数 Python 検出されたサンプルでは、ベースのスクリプトとツール、およびマルウェアも利用されます. 注目すべきマルウェアの1つは、 ゴールデンチキンマルウェア — a サービスとしてのマルウェア (MaaS). これは、サブスクリプションサービスのように購入されたさまざまな犯罪者が使用するハッキングツールセットです。.

マルウェアの活動を追跡することをより困難にするために、コマンドアンドコントロールサーバーにはドメイン名がありません, しかし、ウイルスには直接IPとして設定されています. リストは、次のようなソースから取得されます GitHub, GitLabとReddit — これらは、この目的のために特別に作成されたアカウントを使用してハッカーによって維持されます. The マルウェアの完全なリスト 展開されていることは、次のウイルスがEvilnumハッカーによって使用されることを示しています:

TerraRecon — 特定のハードウェアおよびソフトウェアインスタンスを探すようにプログラムされた情報収集ハッキングツール. このマルウェアは、小売および決済サービスプロバイダーとアプライアンスを標的にすることに焦点を当てています.
TerraStealer — これは、別名として知られている情報スティーラーです SONE また StealerOne VenomLNK これは、 VenomKitキット.
TerraWiper — これは、を削除するように設計された危険なツールです マスターブートレコード (MBR). これが行われると、被害者は自分のコンピュータを適切に起動できなくなります.
TerraCrypt — これは危険なランサムウェアであり、別名 PureLocker これは、強力な暗号でターゲットユーザーファイルを暗号化し、次に恐喝し、暗号通貨の支払いのために被害者を恐喝します. このランサムウェアは、すべての最新のデスクトップオペレーティングシステムと互換性があります: マイクロソフトウィンドウズ, macOSとLinux.
TerraTV — このマルウェアは TeamViewerアプリケーションをハイジャックする.
lite_more_eggs — これはマルウェアローダーの縮小版です.