0
0
A ESET analisou as operações do Evilnum, o grupo APT por trás do malware Evilnum, anteriormente visto em ataques contra empresas de tecnologia financeira. Embora esse malware tenha sido visto em estado selvagem desde pelo menos 2018 e documentado anteriormente, pouco foi publicado sobre o grupo por trás dele e como ele opera.
Neste artigo, conectamos os pontos e divulgamos uma imagem detalhada das atividades da Evilnum. As metas do grupo continuam sendo as empresas de tecnologia, mas seu conjunto de ferramentas e infraestrutura evoluíram e agora consistem em uma mistura de malware caseiro personalizado combinado com ferramentas adquiridas da Golden Chickens, um fornecedor de Mala como Serviço (MaaS) cujos clientes famosos incluem o FIN6 e Grupo Cobalto.
Metas
De acordo com a telemetria da ESET, os alvos são empresas de tecnologia financeira – por exemplo, empresas que oferecem plataformas e ferramentas para negociação on-line. Embora a maioria das metas esteja localizada nos países da UE e no Reino Unido, também vimos ataques em países como a Austrália e o Canadá. Normalmente, as empresas visadas têm escritórios em vários locais, o que provavelmente explica a diversidade geográfica dos ataques.
O principal objetivo do grupo Evilnum é espionar seus objetivos e obter informações financeiras das empresas e de seus clientes. Alguns exemplos das informações que este grupo rouba incluem:
- Planilhas e documentos com listas de clientes, investimentos e operações de negociação
- Apresentações internas
- Licenças e credenciais de software para negociação de software / plataformas
- Cookies e informações de sessão dos navegadores
- Credenciais de email
- Informações do cartão de crédito do cliente e comprovante de endereço / documentos de identidade
De acordo com o que vimos durante nossa investigação, o grupo também obteve acesso a informações relacionadas à TI, como configurações de VPN.
Visão geral do ataque
As metas são abordadas com e-mails com spearphishing que contêm um link para um arquivo ZIP hospedado no Google Drive. Esse arquivo contém vários arquivos LNK (também conhecido como atalho) que extraem e executam um componente JavaScript malicioso, enquanto exibem um documento de engodo. Esses arquivos de atalho têm “extensões duplas” para tentar induzi-lo a abri-los, pensando que são documentos ou imagens benignos (no Windows, extensões de arquivo para tipos de arquivos conhecidos estão ocultas por padrão). O conteúdo de um dos arquivos ZIP é mostrado na Figura 1.
Figura 1. Arquivos LNK maliciosos
Depois que um arquivo de atalho é aberto (não importa qual, como todos fazem a mesma coisa), ele procura no conteúdo de seu próprio arquivo por linhas com um marcador específico e as grava em um arquivo .js . Em seguida, esse arquivo JavaScript malicioso é executado e ele grava e abre um arquivo de isca com o mesmo nome do atalho, mas com a extensão correta. Ele também exclui o arquivo de atalho. Os documentos usados como iscas são principalmente fotos de cartões de crédito, documentos de identidade ou faturas com comprovante de endereço, pois muitas instituições financeiras exigem esses documentos de seus clientes quando ingressam, de acordo com os regulamentos (isso é conhecido como “Conheça o seu cliente”) . Um desses engodos é mostrado na Figura 2 (desfocado por privacidade).
Figura 2. Foto da parte traseira de um cartão de identificação, usada como isca
Esses documentos ilegais parecem genuínos e assumimos que eles foram coletados por esse grupo durante anos de operação. Os documentos são coletados ativamente nas operações atuais do grupo, pois têm como alvo representantes de suporte técnico e gerentes de contas, que recebem regularmente esses tipos de documentos de seus clientes. O grupo reutiliza os documentos em diferentes destinos, a menos que sejam de regiões diferentes.
O componente JavaScript é o primeiro estágio do ataque e pode implantar outros malwares, como um componente espião C #, componentes Golden Chickens ou várias ferramentas baseadas em Python. O nome Evilnum foi dado ao componente C # por outros pesquisadores no passado, mas o componente JS também foi referido como Evilnum. Nomeamos o grupo Evilnum como esse é o nome de seu malware principal e nos referimos às várias partes de malware como componentes. Uma visão geral desses é mostrada na Figura 3.
Figura 3. Componentes do Evilnum
Cada um dos vários componentes possui seu próprio servidor C&C e cada componente opera independentemente. Os operadores do malware enviam manualmente comandos para instalar componentes adicionais e usam scripts e ferramentas pós-comprometimento, se considerarem necessários.
A maioria dos servidores usados pelo malware é referenciada por endereços IP; nomes de domínio não foram usados. As únicas exceções são os servidores C&C usados pelos componentes Golden Chickens; malware adquirido de um provedor de MaaS, como descreveremos mais adiante.
Aqueles referenciados por um endereço IP podem ser divididos em dois grupos, com base no provedor de hospedagem. A maioria deles está hospedada no FreeHost, um provedor ucraniano. O restante está hospedado na Holanda, com Dotsi.
Componente JS: primeiro compromisso
Este componente se comunica com um servidor C&C e atua como um backdoor sem a necessidade de qualquer programa adicional. No entanto, na maioria dos ataques que vimos, os atacantes implantaram componentes adicionais como entenderam e usaram o malware JS apenas como primeiro estágio.
A primeira menção conhecida desse malware JavaScript foi em maio de 2018 neste artigo do pwncode . O malware mudou desde então e ilustramos essas alterações na Figura 4.
Figura 4. Linha do tempo das mudanças no componente JS
As diferenças entre a versão 1.3 e as outras são dignas de nota, pois o código do servidor para o C&C foi alterado e os comandos são diferentes. Na versão anterior, não era possível fazer upload de arquivos para o C&C, apenas fazer o download de arquivos para o computador da vítima. Além disso, à medida que novas versões apareciam, o malware foi estendido com alguns scripts Python (consulte a seção Conjunto de ferramentas pós-comprometimento ) e ferramentas externas, como o ChromeCookiesView .
Apesar das diferenças, as principais funcionalidades permanecem as mesmas em todas as versões, incluindo a recuperação do endereço do servidor C&C das páginas GitHub, GitLab ou Reddit criadas especificamente para esse fim. A Figura 5 mostra um exemplo de página do Reddit que é analisada pelo malware para recuperar um endereço C&C.
Figura 5. Página Reddit com o servidor C&C para o componente JS
Esse componente obtém persistência por meio da chave do Registro Executar e possui recursos completos de backdoor: ele pode baixar e executar binários, executar comandos arbitrários ou fazer upload de arquivos do computador da vítima para o servidor C&C. Não entraremos em detalhes sobre os aspectos técnicos desse componente, pois uma boa análise da versão mais recente foi publicada recentemente pela Prevailion .
Componente C #: mal, não tão mal
Em março de 2019, a Palo Alto Networks descreveu malware com funcionalidade muito semelhante ao componente JS, mas codificado em C #. Essa versão (2.5) obteve o endereço de seus C&C dividindo um número por 666 e, portanto, foi nomeada Evilnum pelos pesquisadores da Palo Alto Networks. Desde então, existem novas versões do malware C #, a última delas sendo a versão 4.0, que vimos pela primeira vez em abril de 2020. O número 666 não é mais usado e os caminhos do PDB dos executáveis mostram que os desenvolvedores chamam de malware ” Maravilha”. No entanto, continuaremos a nomear o malware como Evilnum para evitar criar confusão.
A versão mais recente é fornecida em um arquivo MSI (Windows Installer) e é executada independentemente do componente JS. Além disso, possui C&C diferentes do componente JS. No entanto, em todos os casos que vimos, o componente C # foi baixado e executado depois que o malware JavaScript obteve acesso inicial. A estrutura desse componente é mostrada na Figura 6.
Figura 6. Partes do componente C #
Quando o arquivo MSI é executado, três componentes maliciosos, juntamente com alguns arquivos de biblioteca do .NET Framework, são gravados no disco em % LOCALAPPDATA% \ Microsoft \ Mediia . A copiadora de arquivos é a primeira a ser executada e seu único objetivo é mover os arquivos para outro local em % LOCALAPPDATA% (consulte a seção Indicadores de compromisso para obter os nomes das pastas). O carregador é então executado e carrega e descriptografa o conteúdo do arquivo System.Memmory.dll , que é a carga maliciosa real (DLL Agent) do componente C #. A criptografia AES é usada para a DLL e para ocultar as seqüências na carga útil. A mesma chave e o vetor de inicialização são usados para criptografar as seqüências de caracteres em todas as versões diferentes.
O endereço IP do servidor C&C é codificado e em texto sem formatação. Uma solicitação GET é enviada para / Validate / valsrv e, se o corpo da resposta contiver o texto que você não encontrará nesse compartilhamento , o servidor será aceito. Caso contrário, uma página do GitLab é analisada para obter o endereço IP de um segundo servidor.
Os seguintes recursos estão presentes na versão 4.0:
- Faça capturas de tela se o mouse tiver sido movido por um período de tempo e envie-as para o C&C, codificado em base64. A imagem é armazenada em um arquivo chamado SC4.P7D
- Executar comandos
- Execute outros binários via cmd.exe
- Envie informações como nome do computador, nome de usuário e antivírus instalados
- Persista em um sistema comprometido criando chaves de registro
Comandos
Os comandos que podem ser enviados para o malware são:
- killme : interrompe o malware e remove a persistência
- mouse : move o mouse. Com esta ação, uma captura de tela será feita
- cookies : envia cookies do Chrome para a C&C
- senhas : envia senhas salvas do Chrome. Acreditamos que eles se concentram no Chrome, não com base na participação de mercado (afinal, são ataques direcionados), mas devido à facilidade de processar cookies e recuperar senhas armazenadas
- Outros comandos a serem executados diretamente com o cmd.exe
A versão 2.5 foi a primeira versão documentada do componente C # (vista pela ESET em dezembro de 2018). Em seguida, vimos a v2.7.1 (novembro de 2019), v3 (dezembro de 2019) e v4.0 (abril de 2020). As diferenças mais importantes entre a versão mais recente do malware e as anteriores são:
- A carga útil principal é uma DLL de 32 bits. Anteriormente, era um arquivo EXE de 64 bits.
- Comunicação HTTPS na versão mais recente
- Não há mais comando “reverso”. Foi usado em versões anteriores para abrir um shell reverso. Agora isso é feito com outros scripts
Os componentes JS e C # são conectados um ao outro: o último tira capturas de tela, enquanto o primeiro não, mas possui um código que procura por arquivos de captura de tela e os envia ao servidor C&C. O componente C # também exclui todos os arquivos com a extensão .lnk na pasta % LOCALAPPDATA% \ Temp , limpando as sobras do comprometimento inicial pelo componente JS. Portanto, mesmo que o componente C # tenha funcionalidades limitadas (não pode baixar ou fazer upload de arquivos), ele fornece redundância com um servidor C&C diferente e persistência extra, caso o componente JS seja detectado ou removido do computador da vítima.
Componentes Golden Chickens: família TerraLoader
Em um pequeno número de casos, o grupo Evilnum também implantou algumas ferramentas adquiridas de um provedor de Malware como Serviço. Esse termo é usado para descrever os autores de malware que oferecem não apenas seus binários maliciosos, mas também qualquer infraestrutura necessária (como os servidores da C&C) e até mesmo suporte técnico a seus clientes criminosos.
Nesse caso, o provedor de MaaS é conhecido como Golden Chickens e possui outros clientes (além desse grupo), como FIN6 e Cobalt Group . As versões mais antigas de todos os componentes que descrevemos nas seções a seguir foram vistas anteriormente, em um ataque contra comerciantes de comércio eletrônico que a Visa atribuiu à FIN6 em fevereiro de 2019. Acreditamos que FIN6, Cobalt Group e Evilnum não são os mesmos, apesar das sobreposições em seus conjuntos de ferramentas. Por acaso, eles compartilham o mesmo provedor de MaaS.
As ferramentas Golden Chickens vêm como componentes ActiveX (arquivos OCX) e todas elas contêm o código TerraLoader, que serve como um carregador comum para as várias cargas úteis disponíveis para os clientes da Golden Chickens. Essas ferramentas são usadas pelo Evilnum da seguinte maneira:
- Os invasores enviam manualmente um comando para o componente JS ou C # para descartar e executar um arquivo em lotes de um de seus servidores.
- Esse arquivo em lote grava um arquivo INF malicioso e o fornece como parâmetro para o utilitário cmstp.exe da Microsoft , que executa um scriptlet remoto especificado no arquivo INF. Esta técnica foi documentada na base de conhecimentos MITRE ATT & CK como CMSTP ; Um exemplo de como essa técnica é usada pode ser encontrado aqui . Essa técnica foi usada no passado pelo Cobalt , outro grupo motivado financeiramente.
- O scriptlet remoto contém código JS ofuscado que libera um arquivo OCX e o executa via regsvr32.exe .
O código TerraLoader executa várias verificações de integridade antes de descartar a carga útil. Essas verificações implementam técnicas anti-depuração e tentam identificar anomalias para impedir a execução em ambientes em área restrita. Algumas dessas técnicas variam desde a detecção de parâmetros, nomes de arquivos e extensões incorretos, até a detecção de pontos de interrupção de hardware ou a identificação de módulos específicos carregados no processo em questão. Se todas essas verificações passarem, a carga útil real é descriptografada e executada.
Vimos o Evilnum implantar as seguintes cargas úteis das Galinhas de Ouro em seus ataques:
- More_eggs
- Uma carga útil do Meterpreter que chamaremos de TerraPreter
- TerraStealer
- TerraTV
Pesquisadores da Positive Technologies analisaram recentemente algumas ferramentas usadas pelo grupo Cobalt, incluindo More_eggs versão 6.6, que é uma das versões usadas pelo grupo Evilnum. Eles têm uma análise muito boa do TerraLoader, por isso sugerimos que verifique o relatório (seção 4).
More_eggs
More_eggs é um backdoor JavaScript que se comunica com um servidor C&C e aceita comandos. Ele foi usado no passado por outros grupos direcionados a empresas financeiras. O Evilnum o usa em conjunto com seus backdoors caseiros para fornecer redundância e persistência adicional nas redes de vítimas.
Vimos o Evilnum usar componentes ActiveX de 32 bits com o código TerraLoader que executa More_eggs versões 6.5, 6.6 e 6.6b – as últimas versões disponíveis. Eles fazem isso descartando msxsl.exe (um utilitário de transformação de linha de comando legítimo da Microsoft) e executando o código JavaScript, muito semelhante ao descrito neste artigo pela IRIS .
O código JavaScript descartado é gerado rapidamente pelo componente ActiveX e existem algumas considerações durante a análise:
- O código JS inicial que executa o exe possui um caminho absoluto codificado, portanto, a execução em outro local ou com outro usuário falhará.
- A carga útil More_eggs final é criptografada com uma chave que possui o nome do host e as informações da família do processador anexadas no final. Uma chave de exemplo é:
Família cvyLMmtGSKmPMfzJjGyg552DESKTOP-FQAT01XIntel64 Família 6 Modelo 94 Etapa 3, GenuineIntel
As principais funcionalidades são as mesmas descritas no artigo vinculado acima, embora exista um novo comando, more_time , não mencionado lá. Este comando é semelhante ao comando documentado via_c , que executa seu parâmetro com cmd.exe / v / c <parâmetro> . A diferença é que, adicionalmente, envia a saída de volta ao C&C ( via_c envia apenas se o comando foi ou não bem-sucedido).
TerraPreter
O grupo Evilnum também usa executáveis de 64 bits que descriptografam e executam uma instância Meterpreter na memória. O uso do Meterpreter oferece flexibilidade e capacidade de executar várias cargas úteis de maneira furtiva e extensível.
A estrutura desses componentes e as verificações de integridade implementadas foram identificadas como código TerraLoader. É por isso que nos referimos a esses componentes como TerraPreter. O código descompilado da principal rotina maliciosa é mostrado na Figura 7.
Figura 7. Código descompilado para componentes do Meterpreter Loader
A rotina denominada Dummy chama uma série de APIs que não fazem nada. A inicialização da função RC4 força brutalmente a chave a ser usada, pegando uma cadeia de base e anexando um número a ela que é incrementado em cada iteração. Em seguida, descriptografa um buffer de 16 bytes com a chave candidata usando RC4. Se o buffer descriptografado corresponder a uma cadeia codificada, essa chave candidata será a chave RC4 escolhida para uso posterior. Acreditamos que isso pode ser uma contramedida que desperdiça tempo contra emuladores.
Depois que o buffer incorporado com a carga útil é descriptografado, o malware finalmente define um retorno de chamada para a função da API GrayStringW , apontando para o buffer descriptografado. Depois de passar por várias camadas de decodificação, o metsrv.dll do Meterpreter é carregado na memória. A partir deste ponto, o que vemos é um comportamento regular do Meterpreter que não foi modificado. No entanto, continuaremos a descrever como as comunicações são realizadas.
O TerraPreter se comunica com um servidor C&C usando HTTPS e recupera uma série de comandos. Os C&C que vimos contatados são os melhores cdn.lvsys [.] Com e fax-mon [.] . O primeiro foi redirecionado para d2nz6secq3489l.cloudfront [.] Net . Toda vez que um C&C recebe uma solicitação, ele envia dados binários diferentes XORed com uma chave aleatória de 4 bytes. O malware lê a chave a ser usada para descriptografar nos 4 primeiros bytes de um cabeçalho de 32 bytes que prefixa os dados criptografados. A Figura 8 mostra um exemplo.
Figura 8. Dados enviados pelos C&C
O primeiro comando enviado pelo C&C é core_patch_url , que altera a última parte da URL para solicitações subsequentes. Em seguida, core_negotiate_tlv_encryption é enviado pelo C&C, juntamente com sua chave pública. A partir deste momento, as mensagens serão criptografadas antes de serem enviadas para o XOR.
TerraStealer and TerraTV
O TerraStealer também é conhecido como SONE ou Stealer One. Ele procura muitos navegadores, email, FTP e aplicativos de transferência de arquivos, para roubar cookies e credenciais. Um dos binários que analisamos tinha o log ativado. Parte de um desses logs é mostrada na Figura 9.
Figure 9. TerraStealer log
Outro componente usado por esse grupo é uma variante do TerraTV. Ele executa um aplicativo legítimo do TeamViewer, mas oculta os elementos da interface do usuário, para que os operadores do malware possam se conectar ao computador comprometido sem serem detectados.
Quando executado, o TerraTV coloca vários componentes assinados do TeamViewer em C: \ Users \ Public \ Public Documents \ 57494E2D3850535046373333503532 \ . Os arquivos descartados são mostrados na Figura 10.
Figura 10. Arquivos do TeamViewer descartados pelo TerraTV
ACTIVEDS.dll não está assinado e é onde o código malicioso reside. Há uma DLL do Windows com o mesmo nome na pasta do sistema, mas como a DLL mal-intencionada está no mesmo diretório que o executável do TeamViewer, ela é encontrada primeiro e, portanto, carregada em vez da DLL do Windows. Isso é conhecido como seqüestro de ordem de pesquisa DLL . Este ACTIVEDS.dll conecta várias chamadas de API no executável do TeamViewer para ocultar o ícone da bandeja do aplicativo e capturar credenciais de logon. A parte do código em que os ganchos estão definidos é mostrada na Figura 11.
Figura 11. Ganchos definidos para o TeamViewer
A chamada da API do Windows DefWindowProcW (chamada várias vezes pelo executável do TeamViewer para processar mensagens direcionadas à sua janela principal) é conectada a uma rotina que grava o ID e a senha do TeamViewer no arquivo % APPDATA% \ log_CZ72kGqTdU.txt . Com essas credenciais e o TeamViewer em execução sem nenhum ícone ou janela visível da bandeja, os operadores do malware podem controlar remotamente o computador, por meio da GUI, a qualquer momento.
Conjunto de ferramentas pós-comprometimento
Os componentes maliciosos mencionados anteriormente são freqüentemente estendidos com várias ferramentas adicionais no arsenal do grupo Evilnum. Na maioria dos compromissos que vimos, os invasores utilizaram ferramentas publicamente disponíveis, mas também desenvolveram alguns scripts personalizados. Geralmente eles mantêm suas ferramentas em arquivos protegidos por senha em seus servidores e descompactam-nas no PC da vítima, conforme necessário.
Ferramentas baseadas em Python
- Shell reverso sobre script SSL: um script muito curto que aceita o servidor e a porta como argumentos da linha de comando.
- Proxy SSL que usa PythonProxy , junção , plink e stunnel . Também pode se conectar a um servidor FTP ou usar pysoxy . Vimos o script sendo usado com a configuração “proxy” e 185.62.189 [.] 210 como servidor.
- LaZagne para recuperar senhas armazenadas
- IronPython junto com bibliotecas para capturar capturas de tela, registrar keylogging e gravar áudio DirectSound
Outras ferramentas publicamente disponíveis
- Scripts do PowerShell: por exemplo, Bypass-UAC
- Vários utilitários NirSoft; por exemplo, Mail PassView , para recuperar senhas de clientes de email, e ProduKey , para obter Licenças do Microsoft Office e Windows
Conclusão
O grupo Evilnum está em operação há pelo menos dois anos e estava ativo no momento em que este artigo foi escrito. Possui uma infraestrutura para suas operações com vários servidores diferentes: um para comunicação com o componente JS, outro para o componente C #, outro para armazenar suas ferramentas e dados exfiltrados, servidor proxy e assim por diante. Este grupo tem como alvo empresas de fintech que fornecem plataformas de negociação e investimento para seus clientes. Os alvos são muito específicos e não numerosos. Isso, e o uso de ferramentas legítimas pelo grupo em sua cadeia de ataques, mantiveram suas atividades em grande parte sob o radar. Graças aos nossos dados de telemetria, conseguimos juntar os pontos e descobrir como o grupo opera, descobrindo algumas sobreposições com outros grupos conhecidos do APT. Achamos que esse e outros grupos compartilham o mesmo provedor de MaaS,
Uma lista abrangente de indicadores de compromisso (IoCs) e amostras pode ser encontrada em nosso repositório GitHub .
Para qualquer dúvida ou para enviar amostras de amostras relacionadas ao assunto, entre em contato pelo e-mail ameaintel@eset.com.
Agradecimentos especiais a Ignacio Sanmillan por sua ajuda na análise dos componentes Golden Chickens.
Técnicas MITER ATT & CK
| Tática | EU IRIA | Nome | Descrição |
|---|---|---|---|
| Acesso Inicial | T1192 | Spearphishing Link | Os emails contêm um link para baixar um arquivo compactado de um servidor externo. |
| Execução | T1191 | CMSTP | O cmstp.exe é usado para executar um scriptlet hospedado remotamente que descarta um arquivo ActiveX malicioso. |
| T1059 | Interface da Linha de comando | O cmd.exe é usado para executar comandos e scripts. | |
| T1129 | Execução através da carga do módulo | A carga maliciosa do componente C # da versão 4.0 é carregada de uma DLL. O TerraTV carrega uma DLL maliciosa para permitir o uso silencioso do TeamViewer. | |
| T1061 | Interface gráfica do usuário | O malware TerraTV permite o controle remoto usando o TeamViewer. | |
| T1086 | PowerShell | O grupo Evilnum executa o LaZagne e outros scripts do PowerShell após o componente JS comprometer um destino. | |
| T1117 | Regsvr32 | O grupo Evilnum usa regsvr32.exe para executar suas ferramentas Golden Chickens. | |
| T1064 | Script | O comprometimento inicial e o pós-comprometimento usam vários scripts JavaScript, Python e PowerShell. | |
| T1218 | Execução de proxy binário assinado | O msiexec.exe é usado para instalar o componente C # malicioso. | |
| T1204 | Execução do Usuário | As vítimas são atraídas a abrir arquivos LNK que instalam um componente JS malicioso. | |
| T1047 | Instrumentação de Gerenciamento do Windows | O WMI é usado pelo componente JS para obter informações como qual produto antivírus está instalado. | |
| T1220 | Processamento de script XSL | O malware More_eggs usa o msxsl.exe para invocar o código JS de um arquivo XSL. | |
| Persistência | T1060 | Chaves de execução do registro / pasta de inicialização | As chaves de execução do registro são criadas para persistir pelos componentes JS e C #, além de More_eggs |
| T1108 | Acesso redundante | Os componentes do Evilnum são independentes e fornecem redundância caso um deles seja detectado e removido. | |
| T1179 | Hooking | O malware do TerraTV conecta várias chamadas de API no TeamViewer. | |
| Evasão de Defesa | T1038 | Seqüestro de ordem de pesquisa de DLL | O malware do TerraTV faz com que o TeamViewer carregue uma DLL maliciosa colocada no diretório TeamViewer, em vez da DLL original do Windows, localizada em uma pasta do sistema. |
| T1088 | Ignorar controle de acesso do usuário | Um script do PowerShell é usado para ignorar o UAC. | |
| T1116 | Assinatura de código | Alguns componentes da Golden Chickens são executáveis assinados com códigos maliciosos. Além disso, o grupo Evilnum usa aplicativos legítimos (assinados) como cmstp.exe ou msxsl.exe como mecanismo de evasão de defesa. | |
| T1090 | Proxy de Conexão | A conexão com um servidor proxy é configurada com scripts pós-comprometimento. | |
| T1140 | Desobstruir / decodificar arquivos ou informações | Criptografia, codificação e ofuscação são usadas em muitos componentes de malware do Evilnum. | |
| T1107 | Exclusão de arquivo | Os componentes JS e C # excluem arquivos e pastas temporários criados durante o compromisso inicial. | |
| T1143 | Janela oculta | O TerraTV executa o TeamViewer com o ícone da janela e da bandeja oculto. | |
| T1036 | Mascarada | O componente C # tem sua carga útil em system.memmory.dll , que se disfarça como uma DLL do .NET Framework benigna. | |
| T1112 | Modificar registro | O Evilnum modifica o registro para diferentes propósitos, principalmente para persistir em um sistema comprometido (por exemplo, usando a chave Executar de um registro). | |
| T1027 | Arquivos ou informações ofuscados | Criptografia, codificação e ofuscação são usadas em muitos componentes de malware do Evilnum. | |
| T1497 | Evasão de Virtualização / Sandbox | Os componentes Golden Chickens implementam várias verificações de integridade e técnicas de evasão. | |
| Acesso à credencial | T1003 | Despejo de credenciais | Scripts e ferramentas como LaZagne são usados para recuperar credenciais armazenadas. |
| T1503 | Credenciais de navegadores da Web | O componente C # recupera senhas armazenadas do Chrome. | |
| T1056 | Captura de entrada | Scripts Python personalizados foram usados para registro de chaves. | |
| T1539 | Roubar cookie de sessão da Web | O malware Evilnum rouba cookies do Chrome. | |
| Descoberta | T1012 | Registro de consulta | More_eggs consulta o registro para saber se o usuário possui privilégios de administrador. |
| T1063 | Descoberta de software de segurança | Os componentes JS e C # pesquisam o software antivírus instalado. | |
| T1518 | Descoberta de software | O malware do TerraStealer procura aplicativos específicos. | |
| T1082 | Descoberta de informações do sistema | As informações sobre o sistema são enviadas para os servidores C&C. | |
| Coleção | T1074 | Dados Estadiados | Os dados são armazenados em um local temporário antes de serem enviados para o C&C. |
| T1005 | Dados do sistema local | The JS component (v2.1) has code to exfiltrate Excel files from the local system. | |
| T1114 | Coleta de E-mail | O malware TerraStealer tem como alvo aplicativos de email. | |
| T1056 | Captura de entrada | As teclas digitadas são registradas com um script Python. | |
| T1113 | Captura de tela | As capturas de tela são tiradas por alguns componentes de malware Evilnum. | |
| Comando e controle | T1043 | Porta comumente usada | HTTP e HTTPS são usados para comunicação C&C. |
| T1132 | Codificação de Dados | Alguns dos dados enviados para o C&C são codificados em base64. | |
| T1008 | Canais de fallback | Os componentes JS e C # podem obter um novo C&C analisando páginas da Web de terceiros se o C&C original estiver inativo. | |
| T1104 | Canais de vários estágios | O malware Evilnum usa servidores C&C independentes para seus vários componentes. | |
| T1219 | Ferramentas de acesso remoto | O malware TerraTV usa o TeamViewer para dar o controle do computador comprometido aos atacantes. | |
| T1105 | Cópia remota de arquivo | Os arquivos são carregados / baixados de um servidor C&C. | |
| T1071 | Protocolo de camada de aplicativo padrão | HTTP e HTTPS são usados para C&C. | |
| T1032 | Protocolo criptográfico padrão | O malware More_eggs usa o RC4 para criptografar dados a serem enviados para a C&C. | |
| T1102 | Serviço de internet | GitHub, GitLab, Reddit e outros sites são usados para armazenar informações do servidor C&C. | |
| Exfiltração | T1022 | Dados criptografados | Alguns componentes do Evilnum criptografam dados antes de enviá-los para a C&C. |
| T1048 | Exfiltração por Protocolo Alternativo | Os scripts são implantados manualmente pelos operadores de malware para enviar dados para um servidor FTP. | |
| T1041 | Exfiltração por canal de comando e controle | Os dados são exfiltrados no mesmo canal usado para C&C. |
FONTE: WELIVESECURITY