EU-Finanzunternehmen mit EvilNum-Malware attackiert

EU-Finanzunternehmen mit EvilNum-Malware attackiert

Beitrag teilen

Das Threat-Research-Team von Proofpoint hat beobachtet, dass die vom Unternehmen als TA4563 bezeichnete Hackergruppe verschiedene europäische Finanz- und Investmentunternehmen mit der EvilNum-Malware attackiert

Bei EvilNum handelt es sich um eine Backdoor, die zum Datendiebstahl oder zum Download zusätzlicher Malware-Payloads verwendet werden kann. Die zuletzt beobachteten Kampagnen der Gruppe hatten ausschließlich Unternehmen aus der dezentralisierten Finanzwirtschafts (Decentralized Finance: DeFi) zum Ziel. Zuvor gerieten aber auch Organisationen ins Fadenkreuz der Angreifer, die sich im Devisengeschäft bzw. dem Handel mit Kryptowährungen engagieren.

Anzeige

DeathStalker oder EvilNum am wirken

Im Rahmen seiner Untersuchungen konnte Proofpoint feststellen, dass sich die Aktivitäten von TA4563 teilweise mit Angriffen überschneiden, die gemeinhin mit einer Gruppe namens DeathStalker bzw. EvilNum in Verbindung gebracht werden. Einige der von Proofpoint beobachteten Aktivitäten überschneiden sich ferner mit EvilNum-Attacken, die von Zscaler im Juni 2022 beschrieben wurden.

Die nun von den Security-Experten von Proofpoint identifizierten Kampagnen verbreiteten Ende 2021 und Anfang 2022 eine aktualisierte Version der EvilNum-Backdoor. Dabei setzten die Kriminellen auf eine Mischung verschiedener Angriffsformen bei denen ISO-, Microsoft-Word- und Verknüpfungsdateien (LNK) zum Einsatz kamen. Hiermit sollte wahrscheinlich die Wirksamkeit der Verbreitungsmethoden getestet werden.

„Finanzunternehmen, insbesondere solche, die in Europa mit Kryptowährungen agieren, sollten sich der Aktivitäten von TA4563 bewusst werden. Die Malware der Gruppe, die als EvilNum bekannt ist, wird aktiv weiterentwickelt, und Proofpoint beobachtet aktuell, dass die Aktivitäten der Cyberkriminellen keineswegs nachlassen“, kommentiert Sherrod DeGrippo, Vice President Threat Research and Detection bei Proofpoint.

Verlauf der Kampagnen

Die erste Kampagne konnte Proofpoint im Dezember 2021 beobachten. Die dabei von TA4563 versendeten Nachrichten gaben vor, sich auf die Registrierung von Finanzplattformen oder damit verbundene Dokumente zu beziehen. Hierbei kamen Microsoft Word-Dokumente zum Einsatz, mit denen eine aktualisierte Version der EvilNum-Backdoor verbreitet wurde.

Anfang 2022 zielte die Gruppe mit einer neuen Variation der ursprünglichen E-Mail-Kampagne weiterhin auf Finanzunternehmen ab und nutzte dazu mehrere OneDrive-URLs, die entweder auf eine ISO- oder einen .LNK-Datei verwiesen. Hierzu bedienten sich die Angreifer eines finanziellen Köders, um den Empfänger dazu zu bringen, die EvilNum-Payload auszuführen. Bei darauffolgenden Kampagnen wurde zudem eine komprimierte .LNK-Datei als zusätzlicher Verbreitungsweg von EvilNum versandt.

Während die Hackergruppe Mitte dieses Jahres ihre Zielsetzung beibehielt, änderte sich ihre Methodik erneut. In den Kampagnen Mitte 2022 verbreitete TA4563 Microsoft-Word-Dokumente, mit denen ein Remote-Template heruntergeladen werden sollte. Das Dokument im Dateianhang erzeugte einen Datenaustausch mit der Domain „http://outlookfnd[.]com“, die wahrscheinlich von den Cyberkriminellen in Zusammenhang mit EvilNum kontrolliert wird.

Gefahr durch EvilNum

EvilNum-Malware und die Gruppe TA4563 stellen für Finanzunternehmen eine reale Gefahr dar. Laut der Analyse von Proofpoint befindet sich die TA4563-Malware noch in aktiver Entwicklung. Obwohl die Security-Experten bislang keine Folge-Payload beobachteten, deuten Berichte anderer Sicherheitsforscher darauf hin, dass EvilNum-Malware dazu genutzt werden könnte. TA4563 hat seine Versuche, Opfer in die Falle zu locken, mit verschiedenen Methoden angepasst. Daher sollten Organisationen wachsam bleiben und ihre Mitarbeiter entsprechend sensibilisieren, um den sich ständig verändernden Taktiken und Vorgehensweisen der Cyberkriminellen Rechnung zu tragen.

Mehr bei proofpoint.com

 


Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.


 

Passende Artikel zum Thema

Analyse von BSI gelisteter APT-Gruppe Earth Estries

Die vom BSI als in Deutschland aktiv gelistete APT-Gruppe Earth Estries, auch bekannt als Salt Typhoon, FamousSparrow, GhostEmperor und UNC2286, ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

MDR-Kunden erhalten bis zu 1 Million US-Dollar Schadensersatz

Klassische Cyber-Versicherungen gibt es zwar schon länger, aber nicht in dieser Form: Bitdefender-MDR-Kunden erhalten bei Sicherheitsvorfällen mit Folgen für den ➡ Weiterlesen

Ransomware: Typische Angriffsschritte einer Cyberattacke

Nach einer Cyberattacke ist es schwierig, den Angriffshergang zu rekonstruieren. Ein führender Anbieter für Cybersicherheit hat analysiert, in welchen Angriffsschritten ➡ Weiterlesen

Russische Malware-Kampagne

Im September 2024 entdeckte die Google Threat Analysis Group (TAG) und Mandiant „UNC5812“, eine mutmaßliche hybride russische Spionage- und Beeinflussungskampagne. ➡ Weiterlesen

XDR: KI-Funktionen erkennen und wehren Bedrohungen ab

Bei der Erkennung und Neutralisierung von Bedrohungen kann für Sicherheitsexperten, darunter auch Managed Service Provider (MSP), jede Minute entscheidend sein. ➡ Weiterlesen

Modulare Speicherlösung – Hochsicher und sofort verfügbar

Hochsichere Speicherlösungen müssen nicht nur höchsten Qualitätsansprüchen genügen, sie müssen schnell arbeiten und so schnell wie möglich verfügbar sein. FAST ➡ Weiterlesen

Cyberattacken auf Gesundheitseinrichtungen nehmen zu

Eine US-amerikanische Studie zur Cybersicherheit im Gesundheitswesen hat ergeben, dass das Patientenwohl immer häufiger durch Cyberangriffe gefährdet ist. Neun von ➡ Weiterlesen