ThreatLabz araştırmacıları, bir APT tehdit aktörü olan Evilnum’un bir kez daha Avrupa finans ve yatırım kurumlarını hedef alan eski numaralarını yenilenen faaliyet belirtileriyle birlikte ortaya çıkardı.
Evilnum kullanılarak veriler çalınabilir veya sisteme ek yükler yüklenebilir. Evilnum kötü amaçlı yazılımı, tespitten kaçınmanın yanı sıra, tanımlanan virüsten koruma yazılımına dayalı olarak bulaşma yollarını da değiştirir.
Aşağıdaki sektörlerde faaliyet gösterenler de dahil olmak üzere, bu program tarafından bir dizi kuruluş hedeflenmektedir:-
- döviz
- Kripto para
- Merkezi olmayan finans (DeFi)
Görünüşe göre, son saldırıdan birkaç ay sonra, 2021’in ikinci bölümünde yeni bir saldırı dalgası başladı.
Saldırı akışı
Daha geniş siber güvenlik topluluğunda Evilnum, TA4563 ve DeathStalker isimleriyle bilinir ve 2018’den beri aktiftir. Sonuç olarak, aşağıdakileri yapabilen kendi adını taşıyan arka kapının konuşlandırılmasıyla sonuçlanan bir enfeksiyon zincirine sahiptir. faaliyetler:-
- Keşif
- Veri hırsızlığı
- Ek yükler getiriliyor
En son faaliyetler sırasında, aşağıdakiler de dahil olmak üzere çeşitli yaklaşımları birleştiren revize edilmiş TTP’ler dahil edilmiştir:
- Microsoft Word
- ISO
- Windows Kısayol (LNK) dosyaları
Kurbanlara, tüm bu dosyaları ek olarak içeren bir hedef odaklı kimlik avı e-postası gönderildi.
2022’nin sonlarında, araştırmacılar, alıcıları kötü niyetli .LNK dosyalarına eklenmiş kötü niyetli ZIP arşivlerini açmaya ikna etmek için finansal teşvikler kullananlar da dahil olmak üzere, kampanyanın çeşitli varyantlarını tespit ettiler.
Word belgelerini dağıtma yöntemi, 2022’nin ortalarında, uzak bir şablon getirmeye ve saldırgan tarafından kontrol edilen bir etki alanına bağlanmaya çalışan bir mekanizma içerecek şekilde bir kez daha değiştirildi.
Kripto para birimine ilgi duyan kuruluşların, özellikle Avrupa’da bulunanların, TA4563 faaliyetlerinden etkilenme olasılığı çok yüksektir.
Buna uygun olarak siber güvenlik uzmanları, kötü niyetli saldırılardan kaçınmak için TA4563 grubunun tüm yasa dışı faaliyetlerini önümüzdeki günlerde izlemelerini şiddetle tavsiye etti.
“TA4563’ün kötü amaçlı yazılımı aktif olarak geliştiriliyor. Proofpoint, belirlenen kampanyalarda dağıtılan takip yüklerini gözlemlemese de, üçüncü taraf raporları, EvilNum kötü amaçlı yazılımının, Golden Chickens kötü amaçlı yazılım olarak sunulan araçlar da dahil olmak üzere ek kötü amaçlı yazılımları dağıtmak için kullanılabileceğini gösteriyor.” Proofpoint araştırmacıları söyledi.