g0120-evilnum - RunkIntel

# Evilnum > [!warning] APT FinTech - Espionagem Financeira e Roubo de Credenciais de Trading > O Evilnum é um grupo APT especializado em comprometer empresas de **tecnologia financeira (FinTech)** - plataformas de trading, câmbio, criptomoedas e compliance. O grupo coleta licenças de software, credenciais de clientes, dados KYC (Know Your Customer) e informações de investimentos, possívelmente para benefício de concorrentes ou uso em operações fraudulentas. ## Visão Geral O **Evilnum** (também rastreado como Jointworm pela Symantec, TA4563 pela Proofpoint e possívelmente relacionado ao grupo DeathStalker documentado pela Kaspersky) é um grupo APT financeiramente motivado ativo desde pelo menos 2018. O grupo tem como alvo exclusivo o setor de **tecnologia financeira** - específicamente empresas de trading, câmbio (forex), compliance financeiro e criptomoedas, principalmente no Reino Unido e Europa. O modelo operacional do Evilnum é distintivo: spear-phishing com arquivos LNK ou documentos Word mascarados como documentos de compliance financeiro (documentos de verificação de identidade, formulários KYC, contratos de trading). Uma vez comprometido o sistema, o grupo implanta um ecossistema modular de malware adquirido do serviço Golden Chickens (um MaaS - Malware-as-a-Service que também atende [[g0046-fin7|FIN7]] e [[g0080-cobalt-group|Cobalt Group]]). Em 2022, o grupo ampliou seus alvos para incluir uma **organização intergovernamental de serviços de migração internacional** - uma mudança significativa que coincidiu com o conflito Rússia-Ucrânia, sugerindo possível interesse de inteligência além do puramente financeiro. A Zscaler ThreatLabz documentou que o grupo atualizou seus TTPs para incluir template injection em documentos Word com VBA code stomping - técnica rara que destrói o código fonte original para dificultar análise. Pesquisadores da Kaspersky identificaram o Evilnum como possível subgrupo ou alter ego do DeathStalker, um grupo mercenário de hacking-for-hire que atinge escritórios de advocacia e empresas financeiras menores. ## Attack Flow - Infiltração em Empresas FinTech ```mermaid graph TB A["Spear-phishing FinTech T1566.002 Link para ZIP Documentos KYC compliance trading"] --> B["LNK ou Template Injection T1204.001 Arquivo ZIP com LNK VBA code stomping evade análise"] B --> C["JavaScript Ofuscado T1059.007 Multi-camada ofuscacao desencriptar"] C --> D["TerraLoader Sandbox Check T1497.001 System Checks Hardware/software fingerprint"] D --> E["Evilnum Backdoor Módulo principal Controle + coleta credenciais"] E --> F["Módulos especializados TerraStealer cookies TerraTV via TeamViewer PyVil RAT keylogger"] F --> G["Exfiltração FinTech Licencas software Dados KYC clientes Informacoes trading"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#7f8c8d,color:#fff style E fill:#1a5276,color:#fff style F fill:#2980b9,color:#fff style G fill:#196f3d,color:#fff ``` ## Arsenal Modular - Golden Chickens MaaS O Evilnum usa ferramentas do serviço Golden Chickens - mesmo MaaS usado por [[g0046-fin7|FIN7]] e [[g0080-cobalt-group|Cobalt Group]]: | Ferramenta | Origem | Função | |-----------|--------|--------| | EVILNUM backdoor | Customizado | Módulo principal - controle, coleta, C2 | | [[s0284-moreeggs\|More_eggs]] | Golden Chickens MaaS | Backdoor JavaScript sofisticado | | TerraStealer | Golden Chickens MaaS | Roubo de cookies e sessões de browsers | | TerraPreter | Golden Chickens MaaS | Interpretador Meterpreter integrado | | TerraTV | Golden Chickens MaaS | Abusa TeamViewer para acesso remoto | | PyVil RAT | Customizado Evilnum | RAT em Python - keylogging e screenshots | | Cardinal RAT | Relacionado | RAT com sobreposição de alvos (FinTech Israel) | ## Técnica Avançada - VBA Code Stomping ```mermaid graph TB A["Documento Word malicioso Tema compliance financeiro"] --> B["Stage 2: Template Injection Busca template em dominio atacante Usuario habilita macro"] B --> C["VBA Code Stomping Técnica rara - código fonte destruido Apenas p-code compilado sobrevive"] C --> D["Análise estática falha AV nao detecta código malicioso Sandbox bypassed"] D --> E["JavaScript multi-camada Array de strings encoded/encrypted Desencripta payload final"] E --> F["Scheduled Task UpdateModel SerenadeDACplApp.exe Persistência via agendador"] style A fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#7f8c8d,color:#fff style F fill:#196f3d,color:#fff ``` > [!info] VBA Code Stomping - Técnica Furtiva > O code stomping VBA é uma técnica que destrói o código fonte original de uma macro, preservando apenas a versão compilada (p-code). Isso impede análise estática por antivírus que leem o código fonte VBA. A técnica foi raramente observada antes do Evilnum começar a usá-la em 2022. ## Campanhas Documentadas | Data | Alvo | Técnica | Destaque | |------|------|---------|----------| | 2018 | FinTech Israel | Links Google Drive | Primeira documentação - conexão Cardinal RAT | | 2019-2020 | Fintech UK/Europa | Arquivos LNK em ZIP | Operation Phantom in Command Shell | | Ago 2020 | FinTech global | PyVil RAT introduzido | Novo RAT em Python | | Dez 2021 | Crypto/Forex | EVILNUM atualizado | TA4563 - Criptomoedas, Forex, Commodities | | Mar 2022 | Org. intergovernamental | Template injection | Mudança significativa de alvo - migração internacional | ## Timeline ```mermaid timeline title Evilnum - Cronologia 2018 : Primeiras campanhas : FinTech Israel - Cardinal RAT conexão 2019-2020 : Expansao Europa : UK e Europa - LNK files em ZIP 2020-08 : PyVil RAT : Novo módulo Python - keylogger screenshots 2021-12 : Crypto e Forex : Proofpoint documenta expansao de alvos 2022 : VBA Code Stomping : Técnica rara introduzida 2022-03 : Alvos nao-FinTech : Org. migração - Russia-Ucrania contexto ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Link para ZIP no Google Drive | | Malicious Link | [[t1204-001-malicious-link\|T1204.001]] | Arquivo LNK shortcut executável | | JavaScript | [[t1059-007-javascript\|T1059.007]] | Malware EVILNUM principal em JavaScript | | Steal Web Session Cookie | [[t1539-steal-web-session-cookie\|T1539]] | TerraStealer coleta cookies e sessões | | Credentials from Password Stores | [[t1555-credentials-from-password-stores\|T1555]] | Credenciais de email e browsers | | System Checks | [[t1497-001-system-checks\|T1497.001]] | TerraLoader verifica hardware/sandbox | | UAC Bypass | [[t1548-002-bypass-user-account-control\|T1548.002]] | PowerShell para bypass de UAC | | DLL Search Order Hijacking | [[t1574-001-dll\|T1574.001]] | TerraTV carrega DLL maliciosa via TeamViewer | | Remote Desktop Software | [[t1219-002-remote-desktop-software\|T1219.002]] | TerraTV usa TeamViewer legítimo para acesso | ## Relevância para o Brasil e LATAM > [!latam] Risco para o Mercado Financeiro Brasileiro > O Brasil possui um dos mercados FinTech mais dinâmicos do mundo - com centenas de fintechs reguladas pelo Banco Central (Nubank, Inter, C6 Bank, XP Inc., BTG Pactual). O perfil de alvo do Evilnum é compatível com qualquer empresa brasileira de trading, câmbio, criptomoedas ou compliance financeiro que tenha operações internacionais. Fatores de risco para o Brasil: - **Plataformas de criptomoedas**: Mercado Bitcoin, Bitso Brasil, Foxbit são equivalentes dos alvos europeus do Evilnum - **Forex e câmbio**: Corretoras brasileiras com clientes internacionais compartilham perfil de alvo - **Fintechs regulatórias**: Empresas de compliance e KYC (SERPRO, Neoway) têm dados sensíveis de identidade - **Documentos FinTech como isca**: O Evilnum usa documentos de compliance como isca - qualquer fintech recebe esses documentos rotineiramente, tornando o phishing crível - **Expansão para migração/ONGs**: A campanha de 2022 contra organização de migração sugere potencial expansão de alvos ## Detecção e Defesa | Indicador | Técnica de Detecção | |-----------|---------------------| | Arquivos LNK em ZIPs recebidos por email | Email gateway: alertas para ZIPs com arquivos .lnk | | JavaScript executado via cscript/wscript por processo Office | EDR: alertas para Office spawning script engines | | Scheduled task "UpdateModel Task" criada por Office | SIEM: alertas para tarefas agendadas criadas inusitadamente | | TeamViewer executando DLL de diretório não padrão | EDR: alertas para DLL hijacking em TeamViewer | | PyVil RAT: conexão HTTP de processo Python suspeito | NDR: monitorar conexões Python para IPs externos | ## Referências - [1](https://attack.mitre.org/groups/G0120/) MITRE ATT&CK - Evilnum G0120 - [2](https://www.welivesecurity.com/2020/07/09/more-evil-deep-look-evilnum-toolset/) ESET - More Evil: A Deep Look at Evilnum and its Toolset (2020) - [3](https://www.zscaler.com/blogs/security-research/return-evilnum-apt-updated-ttps-and-new-targets) Zscaler ThreatLabz - Return of the Evilnum APT with Updated TTPs (2022) - [4](https://www.cybereason.com/blog/no-rest-for-the-wicked-evilnum-unleashes-pyvil-rat) Cybereason - Evilnum Unleashes PyVil RAT (2020) - [5](https://unit42.paloaltonetworks.com/cardinal-rat-sins-again-targets-israeli-fin-tech-firms/) Unit 42 - Cardinal RAT Targets Israeli FinTech Firms (2019) - [6](https://malpedia.caad.fkie.fraunhofer.de/actor/evilnum) Malpedia - Evilnum Actor Profile **Grupos relacionados:** [[g0046-fin7|FIN7]] · [[g0080-cobalt-group|Cobalt Group]] (compartilham MaaS Golden Chickens) **Malware:** [[s0284-moreeggs|More_eggs]] · [[evilnum-malware|EVILNUM backdoor]] **Setores alvejados:** [[financial|Financeiro]] · [[technology|Tecnologia]] · [[fintech|FinTech]] · [[cryptocurrency|Criptomoedas]]