Más maldad: una mirada profunda a Evilnum y su conjunto de herramientas


La investigación de ESET ofrece una imagen detallada de las operaciones del grupo Evilnum y su conjunto de herramientas desplegadas en ataques contra objetivos cuidadosamente seleccionados en el sector de tecnología financiera

ESET ha analizado las operaciones de Evilnum, el grupo APT detrás del malware Evilnum visto anteriormente en ataques contra compañías de tecnología financiera. Si bien dicho malware se ha visto en la naturaleza desde al menos 2018 y documentado anteriormente, se ha publicado poco sobre el grupo que lo respalda y cómo funciona.

En este artículo conectamos los puntos y revelamos una imagen detallada de las actividades de Evilnum. Los objetivos del grupo siguen siendo las empresas fintech, pero su conjunto de herramientas e infraestructura han evolucionado y ahora consisten en una combinación de malware casero y personalizado combinado con herramientas compradas a Golden Chickens, un proveedor de Malware-as-a-Service (MaaS) cuyos clientes infames incluyen FIN6 y el grupo de cobalto.

Objetivos

Según la telemetría de ESET, los objetivos son compañías de tecnología financiera, por ejemplo, compañías que ofrecen plataformas y herramientas para el comercio en línea. Aunque la mayoría de los objetivos se encuentran en países de la UE y el Reino Unido, también hemos visto ataques en países como Australia y Canadá. Por lo general, las empresas objetivo tienen oficinas en varios lugares, lo que probablemente explica la diversidad geográfica de los ataques.

El objetivo principal del grupo Evilnum es espiar a sus objetivos y obtener información financiera tanto de las empresas seleccionadas como de sus clientes. Algunos ejemplos de la información que este grupo roba incluyen:

  • Hojas de cálculo y documentos con listas de clientes, inversiones y operaciones comerciales.
  • Presentaciones internas
  • Licencias de software y credenciales para el comercio de software / plataformas
  • Cookies e información de sesión de navegadores
  • Credenciales de correo electrónico
  • Información de la tarjeta de crédito del cliente y comprobante de domicilio / documentos de identidad

Según lo que hemos visto durante nuestra investigación, el grupo también ha obtenido acceso a información relacionada con TI, como las configuraciones de VPN.

Resumen del ataque

Los objetivos se abordan con correos electrónicos de spearphishing que contienen un enlace a un archivo ZIP alojado en Google Drive. Ese archivo contiene varios archivos LNK (también conocido como acceso directo) que extraen y ejecutan un componente JavaScript malicioso, mientras muestran un documento señuelo. Estos archivos de acceso directo tienen "extensiones dobles" para intentar engañar al usuario para que los abra, pensando que son documentos o imágenes benignas (en Windows, las extensiones de archivo para tipos de archivo conocidos están ocultas de forma predeterminada). El contenido de uno de los archivos ZIP se muestra en la Figura 1.

Figura 1. Archivos LNK maliciosos

Una vez que se abre un archivo de acceso directo (no importa cuál, ya que todos hacen lo mismo), busca en el contenido de su propio archivo líneas con un marcador específico y las escribe en un .js expediente. Luego, este archivo JavaScript malicioso se ejecuta y escribe y abre un archivo señuelo con el mismo nombre que el acceso directo, pero con la extensión correcta. También elimina el archivo de acceso directo. Los documentos utilizados como señuelos son principalmente fotos de tarjetas de crédito, documentos de identidad o facturas con comprobante de domicilio, ya que muchas instituciones financieras requieren estos documentos de sus clientes cuando se unen, de acuerdo con las regulaciones (esto se conoce como "Conozca a su cliente") . Uno de esos señuelos se muestra en la Figura 2 (borrosa por privacidad).

Figura 2. Foto del reverso de una tarjeta de identificación, utilizada como señuelo

Estos documentos señuelo parecen genuinos, y suponemos que han sido recopilados por este grupo durante años de operación. Los documentos se recopilan activamente en las operaciones actuales del grupo, ya que se dirige a representantes de soporte técnico y gerentes de cuentas, que reciben regularmente este tipo de documentos de sus clientes. El grupo reutiliza los documentos en diferentes objetivos, a menos que los objetivos sean de diferentes regiones.

El componente JavaScript es la primera etapa del ataque y puede implementar otro malware como un componente espía C #, Pollos Dorados componentes o varias herramientas basadas en Python. El nombre Evilnum fue dado al componente C # por otros investigadores en el pasado, pero el componente JS también se ha denominado Evilnum. Hemos nombrado al grupo Evilnum como ese es el nombre de su malware insignia, y nos referiremos a las diversas piezas de malware como componentes. Una visión general de estos se muestra en la Figura 3.

Figura 3. Componentes de Evilnum

Cada uno de los diversos componentes tiene su propio servidor de C&C, y cada componente funciona de manera independiente. Los operadores del malware envían comandos manualmente para instalar componentes adicionales y usan scripts y herramientas posteriores al compromiso si los consideran necesarios.

La mayoría de los servidores utilizados por el malware están referenciados por direcciones IP; los nombres de dominio no han sido utilizados. Las únicas excepciones son los servidores C&C utilizados por los componentes de Golden Chickens; malware comprado a un proveedor de MaaS, como describimos más adelante.

Los referenciados por una dirección IP se pueden dividir en dos grupos, según el proveedor de alojamiento. La mayoría de ellos están alojados con FreeHost, un proveedor ucraniano. El resto está alojado en los Países Bajos, con Dotsi.

Componente JS: primer compromiso

Este componente se comunica con un servidor C&C y actúa como una puerta trasera sin la necesidad de ningún programa adicional. Sin embargo, en la mayoría de los ataques que hemos visto, los atacantes implementaron componentes adicionales como mejor les pareció y utilizaron el malware JS solo como una primera etapa.

La primera mención conocida de este malware JavaScript fue en mayo de 2018 en este artículo de pwncode. El malware ha cambiado desde entonces e ilustramos estos cambios en la Figura 4.

Figura 4. Cronología de cambios en el componente JS

Las diferencias entre la versión 1.3 y las otras son notables, ya que se modificó el código del lado del servidor para los C&C y los comandos son diferentes. En esa versión inicial no era posible cargar archivos a los C&C, solo descargar archivos a la computadora de la víctima. Además, a medida que aparecían nuevas versiones, el malware se extendió con algunos scripts de Python (consulte el Conjunto de herramientas post-compromiso sección) y herramientas externas como ChromeCookiesView.

A pesar de las diferencias, las funcionalidades principales siguen siendo las mismas en todas las versiones, incluida la recuperación de la dirección del servidor de C&C de las páginas de GitHub, GitLab o Reddit creadas específicamente para ese propósito. La Figura 5 muestra un ejemplo de una página de Reddit analizada por el malware para recuperar una dirección de C&C.

Figura 5. Página Reddit con el servidor C&C para el componente JS

Este componente logra la persistencia a través de la clave de registro Run y ​​tiene capacidades completas de puerta trasera: puede descargar y ejecutar archivos binarios, ejecutar comandos arbitrarios o cargar archivos desde la computadora víctima al servidor C&C. No entraremos en detalles sobre los aspectos técnicos de este componente, ya que se realizó un buen análisis de la última versión publicado recientemente por Prevailion.

Componente C #: malvado, no tan malvado

En marzo de 2019 Palo Alto Networks describió el malware con una funcionalidad muy similar al componente JS, pero codificada en C #. Esa versión (2.5) obtuvo la dirección de sus C&C dividiendo un número entre 666 y, por lo tanto, los investigadores de Palo Alto Networks la llamaron Evilnum. Desde entonces, ha habido nuevas versiones del malware C #, la última de ellas es la versión 4.0, que vimos por primera vez en abril de 2020. El número 666 ya no se usa y las rutas PDB de los ejecutables muestran que los desarrolladores llaman a su malware " Maravilla". Sin embargo, continuaremos nombrando el malware Evilnum para evitar crear confusión.

La última versión viene incluida en un archivo MSI (Windows Installer) y se ejecuta independientemente del componente JS. Además, tiene diferentes C&C que el componente JS. Sin embargo, en todos los casos que hemos visto, el componente C # se descargó y ejecutó después de que el malware de JavaScript obtuviera acceso inicial. La estructura de este componente se muestra en la Figura 6.

Figura 6. Partes del componente C #

Cuando se ejecuta el archivo MSI, tres componentes maliciosos, junto con algunos archivos de la biblioteca .NET Framework, se escriben en el disco en % LOCALAPPDATA% Microsoft Mediia. La copiadora de archivos es la primera en ejecutarse y su único propósito es mover los archivos a otra ubicación en % LOCALAPPDATA% (ver el Indicadores de compromiso sección para los nombres de carpeta). El cargador se ejecuta y carga y descifra el contenido del archivo System.Memmory.dll, que es la carga útil maliciosa real (Agente DLL) para el componente C #. El cifrado AES se usa para la DLL y para la ofuscación de las cadenas en la carga útil. La misma clave y el vector de inicialización se utilizan para cifrar las cadenas en todas las diferentes versiones.

La dirección IP del servidor C&C está codificada y en texto plano. Se envía una solicitud GET para / Validar / valsrv y si el cuerpo de la respuesta contiene el texto no encontrarás este recurso compartido, entonces se acepta el servidor. De lo contrario, se analiza una página de GitLab para obtener la dirección IP de un segundo servidor.

Las siguientes capacidades están presentes en la versión 4.0:

  • Tome capturas de pantalla si el mouse se movió en un período de tiempo y envíelos al C&C, codificado en base64. La imagen se almacena en un archivo llamado SC4.P7D
  • Ejecutar comandos
  • Ejecute otros binarios a través de cmd.exe
  • Enviar información como el nombre de la computadora, nombre de usuario y antivirus instalado
  • Persistir en un sistema comprometido creando claves de registro

Comandos

Los comandos que se pueden enviar al malware son:

  • mátame: detiene el malware y elimina la persistencia
  • ratón: mueve el mouse. Con esta acción se tomará una captura de pantalla.
  • galletas: envía cookies de Chrome a los C&C
  • contraseñas: envía las contraseñas guardadas de Chrome. Creemos que se centran en Chrome no en función de la cuota de mercado (después de todo, estos son ataques dirigidos), sino por la facilidad de procesar cookies y recuperar contraseñas almacenadas
  • Otros comandos para ejecutar directamente con cmd.exe

La versión 2.5 fue la primera versión documentada del componente C # (visto por primera vez por ESET en diciembre de 2018). Luego vimos v2.7.1 (noviembre de 2019), v3 (diciembre de 2019) y v4.0 (abril de 2020). Las diferencias más importantes entre la última versión del malware y las anteriores son:

  • La carga principal es una DLL de 32 bits. Anteriormente, era un archivo EXE de 64 bits.
  • Comunicación HTTPS en la última versión
  • Ya no hay un comando de "reversa". Se utilizó en versiones anteriores para abrir un shell inverso. Esto ahora se hace con otros scripts

Los componentes JS y C # están conectados entre sí: el último toma capturas de pantalla mientras que el primero no, pero tiene un código que busca archivos de captura de pantalla y los envía a su servidor C&C. El componente C # también elimina todos los archivos con .lnk extensión en el % LOCALAPPDATA% Temp carpeta, limpiando las sobras del compromiso inicial por el componente JS. Por lo tanto, incluso si el componente C # tiene funcionalidades limitadas (no puede descargar ni cargar archivos), proporciona redundancia con un servidor C&C diferente y persistencia adicional en caso de que el componente JS sea detectado o eliminado de la computadora de la víctima.

Componentes de Golden Chickens: familia TerraLoader

En un pequeño número de casos, el grupo Evilnum también ha implementado algunas herramientas compradas a un proveedor de Malware como servicio. Este término se usa para describir a los autores de malware que ofrecen no solo sus binarios maliciosos, sino también cualquier infraestructura necesaria (como los servidores de C&C) e incluso soporte técnico a sus clientes criminales.

En este caso, el proveedor de MaaS se conoce como Golden Chickens y tiene otros clientes (aparte de este grupo), como FIN6 y Grupo de cobalto. Las versiones anteriores de todos los componentes que describimos en las siguientes secciones se vieron anteriormente, en un ataque contra comerciantes de comercio electrónico que Visa atribuyó a FIN6 en febrero de 2019. Creemos que FIN6, Cobalt Group y Evilnum group no son lo mismo, a pesar de las superposiciones en sus conjuntos de herramientas. Simplemente comparten el mismo proveedor de MaaS.

Las herramientas Golden Chickens vienen como componentes ActiveX (archivos OCX) y todas ellas contienen el código TerraLoader, que sirve como un cargador común para las diversas cargas disponibles para los clientes de Golden Chickens. Evilnum utiliza estas herramientas de la siguiente manera:

  • Los atacantes envían manualmente un comando al componente JS o C # para soltar y ejecutar un archivo por lotes desde uno de sus servidores.
  • Ese archivo por lotes escribe un archivo INF malicioso y lo proporciona como parámetro a la utilidad de Microsoft cmstp.exe, que ejecuta un scriptlet remoto especificado en el archivo INF. Esta técnica ha sido documentada en la base de conocimiento MITER ATT & CK como CMSTP; Se puede encontrar un ejemplo de cómo se utiliza esta técnica aquí. Esta técnica ha sido utilizada en el pasado por Cobalto, otro grupo con motivación financiera.
  • El scriptlet remoto contiene código JS ofuscado que suelta un archivo OCX y lo ejecuta a través de regsvr32.exe.

El código TerraLoader realiza varias verificaciones de integridad antes de soltar la carga útil. Estas comprobaciones implementan técnicas anti-depuración e intentan identificar anomalías para evitar la ejecución en entornos de espacio aislado. Algunas de estas técnicas van desde la detección de parámetros incorrectos, nombres de archivo y extensiones, hasta la detección de puntos de interrupción de hardware o la identificación de módulos específicos cargados en el proceso en cuestión. Si todas estas comprobaciones pasan, la carga útil real se descifra y ejecuta.

Hemos visto a Evilnum desplegar las siguientes cargas útiles de Golden Chickens en sus ataques:

  • More_eggs
  • Una carga útil de Meterpreter que llamaremos TerraPreter
  • TerraStealer
  • TerraTV

Investigadores de Positive Technologies analizaron recientemente algunas herramientas utilizadas por el grupo Cobalt, incluida More_eggs versión 6.6, que es una de las versiones utilizadas por el grupo Evilnum. Tienen un muy buen análisis de TerraLoader, por lo que sugerimos verificar su informe (Sección 4).

More_eggs

More_eggs es una puerta trasera JavaScript que se comunica con un servidor C&C y acepta comandos. Ha sido utilizado en el pasado por otros grupos dirigidos a compañías financieras. Evilnum lo usa junto con sus puertas traseras caseras para proporcionar redundancia y persistencia adicional en las redes de víctimas.

Hemos visto a Evilnum usar componentes ActiveX de 32 bits con código TerraLoader que ejecuta More_eggs versiones 6.5, 6.6 y 6.6b, las últimas versiones disponibles. Lo hacen soltando msxsl.exe (una utilidad de transformación de línea de comandos que es un ejecutable legítimo de Microsoft) y hacer que ejecute el código JavaScript, muy similar a lo que se describe en este artículo de IRIS.

El código JavaScript eliminado se genera sobre la marcha por el componente ActiveX, y hay algunas consideraciones durante el análisis:

  • El código JS inicial que ejecuta exe tiene una ruta absoluta codificada, por lo que la ejecución desde otra ubicación o con otro usuario fallará.
  • La carga útil final de More_eggs se cifra con una clave que tiene el nombre de host y la información de la familia del procesador adjunta al final. Un ejemplo de clave es:

cvyLMmtGSKmPMfzJjGyg552DESKTOP-FQAT01XIntel64 Familia 6 Modelo 94 Paso 3, GenuineIntel

Las funcionalidades principales son las mismas que se describen en el artículo vinculado anteriormente, aunque hay un nuevo comando, más tiempo, no mencionado allí. Este comando es similar al comando documentado via_c, que ejecuta su parámetro con cmd.exe / v / c . La diferencia es que, además, envía la salida de vuelta a los C&C (via_c solo envía si el comando tuvo éxito o no).

TerraPreter

El grupo Evilnum también usa ejecutables de 64 bits que descifran y ejecutan una instancia de Meterpreter en la memoria. El uso de Meterpreter les brinda flexibilidad y la capacidad de ejecutar varias cargas útiles de forma sigilosa y extensible.

La estructura de estos componentes y las verificaciones de integridad implementadas se identificaron como código TerraLoader. Por eso nos referimos a estos componentes como TerraPreter. El código descompilado de la rutina maliciosa principal se muestra en la Figura 7.

Figura 7. Código descompilado para los componentes del Meterpreter Loader

La rutina etiquetada Tonto llama a una serie de API que no hacen nada. La inicialización de la función RC4 fuerza a la fuerza bruta a usar la clave al tomar una cadena base y agregarle un número que se incrementa en cada iteración. Luego descifra un búfer de 16 bytes con la clave candidata usando RC4. Si el búfer descifrado coincide con una cadena codificada, entonces esa clave candidata será la clave RC4 elegida para su uso posterior. Creemos que esta puede ser una contramedida que pierde el tiempo contra los emuladores.

Después de descifrar el búfer integrado con la carga útil, el malware finalmente establecerá una devolución de llamada a GrayStringW Función API, apuntando al búfer descifrado. Después de pasar por muchas capas de decodificación, Meterpreter's metsrv.dll está cargado en la memoria. A partir de este momento, lo que vemos es un comportamiento regular de Meterpreter que no se ha modificado. Sin embargo, continuaremos describiendo cómo se realizan las comunicaciones.

TerraPreter se comunica con un servidor de C&C usando HTTPS y recupera una serie de comandos. Los C&C que hemos visto contactados son cdn.lvsys (.) com y faxing-mon (.) mejor. El primero fue redirigido a d2nz6secq3489l.cloudfront (.) net. Cada vez que un C&C recibe una solicitud, envía diferentes datos binarios XORed con una clave aleatoria de 4 bytes. El malware lee la clave que se utilizará para el descifrado de los primeros 4 bytes de un encabezado de 32 bytes que prefija los datos cifrados. La figura 8 muestra un ejemplo.

Figura 8. Datos enviados por los C&C

El primer comando enviado por C&C es core_patch_url, que cambia la última parte de la URL para solicitudes posteriores. Luego core_negotiate_tlv_encryption es enviado por C&C, junto con su clave pública. A partir de este momento, los mensajes se cifrarán antes de ser XORed.

TerraStealer y TerraTV

TerraStealer también se conoce como SONE o Stealer One. Escanea muchos navegadores, correo electrónico, FTP y aplicaciones de transferencia de archivos, para robar cookies y credenciales. Uno de los binarios que analizamos tenía el registro activado. Parte de uno de esos registros se muestra en la Figura 9.

Figura 9. Registro de TerraStealer

Otro componente utilizado por este grupo es una variante de TerraTV. Ejecuta una aplicación TeamViewer legítima pero oculta sus elementos de interfaz de usuario, de modo que los operadores del malware pueden conectarse a la computadora comprometida sin ser detectados.

Cuando se ejecuta, TerraTV coloca varios componentes firmados de TeamViewer en C: Usuarios Público Documentos públicos 57494E2D3850535046373333503532 . Los archivos descartados se muestran en la Figura 10.

Figura 10. Archivos de TeamViewer soltados por TerraTV

ACTIVEDS.dll no está firmado y es donde reside el código malicioso. Hay una DLL de Windows con ese mismo nombre en la carpeta del sistema, pero como la DLL maliciosa está en el mismo directorio que el ejecutable de TeamViewer, se encuentra primero y, por lo tanto, se carga en lugar de la DLL de Windows. Esto se conoce como Secuestro de orden de búsqueda de DLL. Esta ACTIVEDS.dll conecta varias llamadas API en el ejecutable de TeamViewer para ocultar el icono de la bandeja de la aplicación y capturar las credenciales de inicio de sesión. La parte del código donde se establecen los ganchos se muestra en la Figura 11.

Figura 11. Ganchos establecidos para TeamViewer

La llamada a la API de Windows DefWindowProcW (llamado varias veces por el ejecutable de TeamViewer para procesar mensajes dirigidos a su ventana principal) se engancha con una rutina que escribe el ID y la contraseña de TeamViewer en el archivo % APPDATA% log_CZ72kGqTdU.txt. Con estas credenciales, y TeamViewer ejecutándose sin un icono o ventana de bandeja visible, los operadores del malware pueden controlar de forma remota la computadora, a través de su GUI, en cualquier momento.

Conjunto de herramientas post-compromiso

Los componentes maliciosos mencionados anteriormente se extienden con frecuencia con varias herramientas adicionales en el arsenal del grupo Evilnum. En la mayoría de los compromisos que hemos visto, los atacantes utilizaron herramientas disponibles públicamente, pero también desarrollaron algunos scripts personalizados. Por lo general, mantienen sus herramientas en archivos protegidos por contraseña en sus servidores y las descomprimen en la PC de la víctima según sea necesario.

Herramientas basadas en Python

  • Reverse shell over Script SSL: Un script muy corto que toma el servidor y el puerto como argumentos de línea de comando.
  • Proxy SSL que utiliza PythonProxy, unión, plink y aturdimiento. También se puede conectar a un servidor FTP o usar pysoxy. Hemos visto que el script se usa con la configuración de "proxy" y 185.62.189 (.) 210 como el servidor.
  • LaZagne para recuperar contraseñas almacenadas
  • HierroPython junto con bibliotecas para tomar capturas de pantalla, keylogging y grabar audio DirectSound

Otras herramientas disponibles públicamente

  • Scripts de PowerShell: por ejemplo, Bypass-UAC
  • Varias utilidades de NirSoft; por ejemplo, Mail PassView, para recuperar contraseñas de clientes de correo electrónico y ProduKey, para obtener licencias de Microsoft Office y Windows

Conclusión

El grupo Evilnum ha estado operando durante al menos dos años y estaba activo en el momento de escribir este artículo. Tiene una infraestructura para sus operaciones con varios servidores diferentes: uno para las comunicaciones con el componente JS, otro para el componente C #, otro para almacenar sus herramientas y datos extraídos, el servidor proxy, etc. Este grupo está dirigido a empresas de tecnología financiera que ofrecen plataformas comerciales y de inversión para sus clientes. Los objetivos son muy específicos y no numerosos. Esto, y el uso del grupo de herramientas legítimas en su cadena de ataque, han mantenido sus actividades en gran medida fuera del radar. Gracias a nuestros datos de telemetría pudimos unir los puntos y descubrir cómo funciona el grupo, descubriendo algunas superposiciones con otros grupos APT conocidos. Creemos que este y otros grupos comparten el mismo proveedor de MaaS, y el grupo Evilnum aún no puede asociarse con ningún ataque anterior de ningún otro grupo APT.

Se puede encontrar una lista completa de Indicadores de compromiso (IoC) y muestras en nuestro repositorio GitHub.

Para cualquier consulta o para realizar presentaciones de muestras relacionadas con el tema, contáctenos en hazardintel@eset.com.

Agradecimientos especiales a Ignacio Sanmillan por su ayuda con el análisis de los componentes de Golden Chickens.

Técnicas MITRE ATT y CK

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1192 Enlace de pesca submarina Los correos electrónicos contienen un enlace para descargar un archivo comprimido de un servidor externo.
Ejecución T1191 CMSTP cmstp.exe se usa para ejecutar un scriptlet alojado de forma remota que suelta un archivo ActiveX malicioso.
T1059 Interfaz de línea de comandos cmd.exe se usa para ejecutar comandos y scripts.
T1129 Ejecución a través de carga de módulo La carga maliciosa para el componente de la versión 4.0 C # se carga desde una DLL. TerraTV carga una DLL maliciosa para permitir el uso silencioso de TeamViewer.
T1061 Interfaz gráfica del usuario El malware TerraTV permite el control remoto utilizando TeamViewer.
T1086 Potencia Shell El grupo Evilnum ejecuta LaZagne y otros scripts de PowerShell después de que su componente JS haya comprometido un objetivo.
T1117 Regsvr32 Usos del grupo Evilnum regsvr32.exe para ejecutar sus herramientas de Golden Chickens.
T1064 Scripting El compromiso inicial y el compromiso posterior utilizan varios scripts de JavaScript, Python y PowerShell.
T1218 Ejecución de proxy binario firmado msiexec.exe se usa para instalar el componente malicioso de C #.
T1204 Ejecución de usuario Las víctimas son atraídas para abrir archivos LNK que instalarán un componente JS malicioso.
T1047 Instrumentación de Administración Windows El componente JS utiliza WMI para obtener información como qué producto antivirus está instalado.
T1220 Procesamiento de script XSL More_eggs utiliza malware msxsl.exe para invocar el código JS desde un archivo XSL.
Persistencia T1060 Claves de ejecución del registro / Carpeta de inicio Las claves de ejecución del registro se crean para que los componentes JS y C # persistan, así como More_eggs
T1108 Acceso redundante Los componentes de Evilnum son independientes y proporcionan redundancia en caso de que uno de ellos sea detectado y eliminado.
T1179 Enganche El malware TerraTV conecta varias llamadas API en TeamViewer.
Evasión de defensa T1038 Secuestro de orden de búsqueda de DLL El malware de TerraTV hace que TeamViewer cargue una DLL maliciosa colocada en el directorio de TeamViewer, en lugar de la DLL original de Windows ubicada en una carpeta del sistema.
T1088 Omitir control de acceso de usuario Se usa un script de PowerShell para omitir UAC.
T1116 Firma de código Algunos de los componentes de Golden Chickens son ejecutables maliciosos firmados. Además, el grupo Evilnum utiliza aplicaciones legítimas (firmadas) como cmstp.exe o msxsl.exe como un mecanismo de evasión de defensa.
T1090 Proxy de conexión La conexión a un servidor proxy se configura con scripts posteriores al compromiso.
T1140 Desobuscar / decodificar archivos o información El cifrado, la codificación y la ofuscación se utilizan en muchos componentes de malware Evilnum.
T1107 Eliminación de archivos Los componentes JS y C # eliminan archivos y carpetas temporales creados durante el compromiso inicial.
T1143 Ventana oculta TerraTV ejecuta TeamViewer con su icono de ventana y bandeja oculto.
T1036 Disfraces El componente C # tiene su carga útil en system.memmory.dll , que se hace pasar por un DLL de .NET Framework benigno.
T1112 Modificar registro Evilnum modifica el registro para diferentes propósitos, principalmente para persistir en un sistema comprometido (por ejemplo, usando la tecla Ejecutar de un registro).
T1027 Archivos o información ofuscados El cifrado, la codificación y la ofuscación se utilizan en muchos componentes de malware Evilnum.
T1497 Virtualización / Evasión de Sandbox Los componentes de Golden Chickens implementan varias comprobaciones de integridad y técnicas de evasión.
Acceso de credenciales T1003 Descarga de credenciales Se utilizan scripts y herramientas como LaZagne para recuperar las credenciales almacenadas.
T1503 Credenciales de navegadores web El componente C # recupera las contraseñas almacenadas de Chrome.
T1056 Captura de entrada Se han utilizado scripts Python personalizados para el registro de teclas.
T1539 Robar cookie de sesión web El malware Evilnum roba cookies de Chrome.
Descubrimiento T1012 Registro de consultas More_eggs consulta el registro para saber si el usuario tiene privilegios de administrador.
T1063 Descubrimiento de software de seguridad Los componentes JS y C # buscan software antivirus instalado.
T1518 Descubrimiento de software El malware TerraStealer busca aplicaciones específicas.
T1082 Descubrimiento de información del sistema La información sobre el sistema se envía a los servidores de C&C.
Colección T1074 Datos organizados Los datos se almacenan en una ubicación temporal antes de enviarse a los C&C.
T1005 Datos del sistema local El componente JS (v2.1) tiene código para extraer archivos de Excel del sistema local.
T1114 Recolección de correo electrónico El malware TerraStealer se dirige a aplicaciones de correo electrónico.
T1056 Captura de entrada Las pulsaciones de teclas se registran con un script de Python.
T1113 La captura de pantalla Las capturas de pantalla son tomadas por algunos componentes de malware Evilnum.
Comando y control T1043 Puerto de uso común HTTP y HTTPS se utilizan para la comunicación C&C.
T1132 Codificación de datos Algunos de los datos enviados a C&C están codificados en base64.
T1008 Canales de reserva Los componentes JS y C # pueden obtener un nuevo C&C analizando páginas web de terceros si el C&C original está inactivo.
T1104 Canales de etapas múltiples El malware Evilnum utiliza servidores C&C independientes para sus diversos componentes.
T1219 Herramientas de acceso remoto El malware TerraTV usa TeamViewer para dar el control de la computadora comprometida a los atacantes.
T1105 Copia remota de archivos Los archivos se cargan / descargan de un servidor de C&C.
T1071 Protocolo de capa de aplicación estándar HTTP y HTTPS se utilizan para C&C.
T1032 Protocolo criptográfico estándar El malware More_eggs utiliza RC4 para cifrar los datos que se enviarán a los C&C.
T1102 Servicio web GitHub, GitLab, Reddit y otros sitios web se utilizan para almacenar información del servidor de C&C.
Exfiltración T1022 Datos cifrados Algunos componentes de Evilnum cifran los datos antes de enviarlos a los C&C.
T1048 Exfiltración sobre protocolo alternativo Los operadores de malware implementan manualmente los scripts para enviar datos a un servidor FTP.
T1041 Exfiltración sobre el canal de comando y control Los datos se extraen a través del mismo canal utilizado para C&C.








Enlace a la noticia original