Das Threat-Research-Team von Proofpoint hat beobachtet, dass die vom Unternehmen als TA4563 bezeichnete Hackergruppe verschiedene europäische Finanz- und Investmentunternehmen mit der EvilNum-Malware attackiert
Bei EvilNum handelt es sich um eine Backdoor, die zum Datendiebstahl oder zum Download zusätzlicher Malware-Payloads verwendet werden kann. Die zuletzt beobachteten Kampagnen der Gruppe hatten ausschließlich Unternehmen aus der dezentralisierten Finanzwirtschafts (Decentralized Finance: DeFi) zum Ziel. Zuvor gerieten aber auch Organisationen ins Fadenkreuz der Angreifer, die sich im Devisengeschäft bzw. dem Handel mit Kryptowährungen engagieren.
DeathStalker oder EvilNum am wirken
Im Rahmen seiner Untersuchungen konnte Proofpoint feststellen, dass sich die Aktivitäten von TA4563 teilweise mit Angriffen überschneiden, die gemeinhin mit einer Gruppe namens DeathStalker bzw. EvilNum in Verbindung gebracht werden. Einige der von Proofpoint beobachteten Aktivitäten überschneiden sich ferner mit EvilNum-Attacken, die von Zscaler im Juni 2022 beschrieben wurden.
Die nun von den Security-Experten von Proofpoint identifizierten Kampagnen verbreiteten Ende 2021 und Anfang 2022 eine aktualisierte Version der EvilNum-Backdoor. Dabei setzten die Kriminellen auf eine Mischung verschiedener Angriffsformen bei denen ISO-, Microsoft-Word- und Verknüpfungsdateien (LNK) zum Einsatz kamen. Hiermit sollte wahrscheinlich die Wirksamkeit der Verbreitungsmethoden getestet werden.
„Finanzunternehmen, insbesondere solche, die in Europa mit Kryptowährungen agieren, sollten sich der Aktivitäten von TA4563 bewusst werden. Die Malware der Gruppe, die als EvilNum bekannt ist, wird aktiv weiterentwickelt, und Proofpoint beobachtet aktuell, dass die Aktivitäten der Cyberkriminellen keineswegs nachlassen“, kommentiert Sherrod DeGrippo, Vice President Threat Research and Detection bei Proofpoint.
Verlauf der Kampagnen
Die erste Kampagne konnte Proofpoint im Dezember 2021 beobachten. Die dabei von TA4563 versendeten Nachrichten gaben vor, sich auf die Registrierung von Finanzplattformen oder damit verbundene Dokumente zu beziehen. Hierbei kamen Microsoft Word-Dokumente zum Einsatz, mit denen eine aktualisierte Version der EvilNum-Backdoor verbreitet wurde.
Anfang 2022 zielte die Gruppe mit einer neuen Variation der ursprünglichen E-Mail-Kampagne weiterhin auf Finanzunternehmen ab und nutzte dazu mehrere OneDrive-URLs, die entweder auf eine ISO- oder einen .LNK-Datei verwiesen. Hierzu bedienten sich die Angreifer eines finanziellen Köders, um den Empfänger dazu zu bringen, die EvilNum-Payload auszuführen. Bei darauffolgenden Kampagnen wurde zudem eine komprimierte .LNK-Datei als zusätzlicher Verbreitungsweg von EvilNum versandt.
Während die Hackergruppe Mitte dieses Jahres ihre Zielsetzung beibehielt, änderte sich ihre Methodik erneut. In den Kampagnen Mitte 2022 verbreitete TA4563 Microsoft-Word-Dokumente, mit denen ein Remote-Template heruntergeladen werden sollte. Das Dokument im Dateianhang erzeugte einen Datenaustausch mit der Domain „http://outlookfnd[.]com“, die wahrscheinlich von den Cyberkriminellen in Zusammenhang mit EvilNum kontrolliert wird.
Gefahr durch EvilNum
EvilNum-Malware und die Gruppe TA4563 stellen für Finanzunternehmen eine reale Gefahr dar. Laut der Analyse von Proofpoint befindet sich die TA4563-Malware noch in aktiver Entwicklung. Obwohl die Security-Experten bislang keine Folge-Payload beobachteten, deuten Berichte anderer Sicherheitsforscher darauf hin, dass EvilNum-Malware dazu genutzt werden könnte. TA4563 hat seine Versuche, Opfer in die Falle zu locken, mit verschiedenen Methoden angepasst. Daher sollten Organisationen wachsam bleiben und ihre Mitarbeiter entsprechend sensibilisieren, um den sich ständig verändernden Taktiken und Vorgehensweisen der Cyberkriminellen Rechnung zu tragen.
Mehr bei proofpoint.com
Über Proofpoint Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.