L'équipe de recherche sur les menaces de Proofpoint a observé le groupe de pirates, surnommé TA4563, ciblant diverses sociétés financières et d'investissement européennes avec le malware EvilNum
EvilNum est une porte dérobée qui peut être utilisée pour voler des données ou télécharger des charges utiles supplémentaires de logiciels malveillants. Les dernières campagnes observées par le groupe ciblaient exclusivement les entreprises du secteur de la finance décentralisée (Decentralized Finance : DeFi). Auparavant, cependant, les organisations impliquées dans le commerce des devises ou le commerce des crypto-monnaies étaient également dans le collimateur des attaquants.
DeathStalker ou EvilNum au travail
Au cours de son enquête, Proofpoint a découvert que les activités de TA4563 chevauchaient partiellement des attaques communément associées à un groupe connu sous le nom de DeathStalker ou EvilNum. Une partie de l'activité observée par Proofpoint chevauche également les attaques EvilNum décrites par Zscaler en juin 2022.
Les campagnes désormais identifiées par les experts en sécurité de Proofpoint ont distribué une version mise à jour de la porte dérobée EvilNum fin 2021 et début 2022. Les criminels ont utilisé un mélange de différents types d'attaques utilisant ISO, Microsoft Word et des fichiers de liens (LNK). Il s'agissait probablement de tester l'efficacité des méthodes de diffusion.
"Les sociétés financières, en particulier celles qui traitent des crypto-monnaies en Europe, doivent être au courant des activités de TA4563. Le malware du groupe, connu sous le nom d'EvilNum, est en cours de développement et Proofpoint observe actuellement que l'activité cybercriminelle ne ralentit pas », a commenté Sherrod DeGrippo, vice-président de la recherche et de la détection des menaces chez Proofpoint.
déroulement des campagnes
Proofpoint a observé la première campagne en décembre 2021. Les messages envoyés par TA4563 étaient censés être liés à l'enregistrement de la plateforme financière ou à des documents connexes. Des documents Microsoft Word ont été utilisés pour distribuer une version mise à jour de la porte dérobée EvilNum.
Début 2022, le groupe a continué à cibler les sociétés financières avec une nouvelle variante de la campagne par e-mail d'origine, en utilisant plusieurs URL OneDrive pointant vers un fichier ISO ou .LNK. Pour ce faire, les attaquants ont utilisé un leurre financier pour inciter le destinataire à exécuter la charge utile EvilNum. Les campagnes suivantes ont également envoyé un fichier .LNK compressé comme canal de distribution supplémentaire pour EvilNum.
Alors que le groupe de piratage a maintenu son objectif au milieu de cette année, sa méthodologie a encore changé. Lors des campagnes mi-2022, TA4563 a distribué des documents Microsoft Word conçus pour télécharger un modèle à distance. Le document joint a généré des échanges de fichiers avec le domaine "http://outlookfnd[.]com" qui est probablement contrôlé par les cybercriminels liés à EvilNum.
Danger du MalNum
Le malware EvilNum et le groupe TA4563 constituent une réelle menace pour les organisations financières.Selon l'analyse de Proofpoint, le malware TA4563 est toujours en développement actif. Bien que les experts en sécurité n'aient pas encore observé de charge utile de suivi, des rapports d'autres chercheurs en sécurité indiquent que le logiciel malveillant EvilNum pourrait être utilisé à cette fin. TA4563 a adapté ses tentatives pour piéger les victimes en utilisant une variété de méthodes. En tant que telles, les organisations doivent rester vigilantes et éduquer leurs employés pour suivre les tactiques et tactiques en constante évolution des cybercriminels.
Plus sur proofpoint.com
À propos de Propoint Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité. Proofpoint se concentre sur la protection des employés. Parce que ceux-ci signifient le plus grand capital pour une entreprise, mais aussi le plus grand risque. Avec une suite intégrée de solutions de cybersécurité basées sur le cloud, Proofpoint aide les organisations du monde entier à stopper les menaces ciblées, à protéger leurs données et à informer les utilisateurs informatiques des entreprises sur les risques de cyberattaques.