Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент EVILNUM
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
EVILNUM
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

EVILNUM

EVILNUM is fully capable backdoor that was first identified in 2018. EVILNUM is used by the APT group Evilnum which has the same name.(Citation: ESET EvilNum July 2020)(Citation: Prevailion EvilNum May 2020)
ID: S0568
Type: MALWARE
Platforms: Windows
Version: 1.0
Created: 28 Jan 2021
Last Modified: 19 Jan 2022

Techniques Used
Domain ID Name Use
Enterprise T1547 .001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

EVILNUM can achieve persistence through the Registry Run key.(Citation: ESET EvilNum July 2020)(Citation: Prevailion EvilNum May 2020)
Enterprise T1070 .006 Indicator Removal: Timestomp

EVILNUM has changed the creation date of files.(Citation: Prevailion EvilNum May 2020)
Enterprise T1518 .001 Software Discovery: Security Software Discovery

EVILNUM can search for anti-virus products on the system.(Citation: Prevailion EvilNum May 2020)
Enterprise T1218 .010 System Binary Proxy Execution: Regsvr32

EVILNUM can run a remote scriptlet that drops a file and executes it via regsvr32.exe.(Citation: ESET EvilNum July 2020)

.011 System Binary Proxy Execution: Rundll32

EVILNUM can execute commands and scripts through rundll32.(Citation: Prevailion EvilNum May 2020)

Enterprise T1102 .003 Web Service: One-Way Communication

EVILNUM has used a one-way communication method via GitLab and Digital Point to perform C2.(Citation: Prevailion EvilNum May 2020)

Groups That Use This Software
ID Name References
G0120 Evilnum

(Citation: Prevailion EvilNum May 2020)

References

  1. Porolli, M. (2020, July 9). More evil: A deep look at Evilnum and its toolset. Retrieved January 22, 2021.
  2. Adamitis, D. (2020, May 6). Phantom in the Command Shell. Retrieved December 22, 2021.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.