प्रूफपॉइंट की थ्रेट रिसर्च टीम ने हैकर समूह का अवलोकन किया है, जिसे TA4563 करार दिया गया है, जो ईविलनम मैलवेयर के साथ विभिन्न यूरोपीय वित्तीय और निवेश फर्मों को लक्षित करता है।
एविलनम एक बैकडोर है जिसका उपयोग डेटा चोरी करने या अतिरिक्त मैलवेयर पेलोड डाउनलोड करने के लिए किया जा सकता है। समूह के सबसे हाल ही में देखे गए अभियान विशेष रूप से विकेंद्रीकृत वित्त क्षेत्र (विकेंद्रीकृत वित्त: डेफी) की कंपनियों को लक्षित करते हैं। पहले, हालांकि, विदेशी मुद्रा व्यापार या क्रिप्टोकाउंक्शंस में व्यापार में शामिल संगठन भी हमलावरों के क्रॉसहेयर में आ गए थे।
काम पर डेथस्टॉकर या एविलनम
अपनी जांच के दौरान, प्रूफप्वाइंट ने पाया कि TA4563 की गतिविधियां आंशिक रूप से उन हमलों के साथ ओवरलैप होती हैं जो आमतौर पर डेथस्टॉकर या एविलनम नामक समूह से जुड़े होते हैं। प्रूफ़पॉइंट द्वारा देखी गई कुछ गतिविधियाँ जून 2022 में Zscaler द्वारा वर्णित एविलनम हमलों के साथ भी ओवरलैप होती हैं।
प्रूफपॉइंट के सुरक्षा विशेषज्ञों द्वारा अब पहचाने गए अभियानों ने 2021 के अंत और 2022 की शुरुआत में एविलनम पिछले दरवाजे का एक अद्यतन संस्करण वितरित किया। अपराधियों ने आईएसओ, माइक्रोसॉफ्ट वर्ड और लिंक फाइलों (एलएनके) का उपयोग करते हुए विभिन्न प्रकार के हमलों का मिश्रण इस्तेमाल किया। इसका उद्देश्य शायद प्रसार विधियों की प्रभावशीलता का परीक्षण करना था।
"वित्तीय फर्मों, विशेष रूप से जो यूरोप में क्रिप्टोकरेंसी में काम कर रही हैं, उन्हें TA4563 की गतिविधियों के बारे में पता होना चाहिए। समूह का मैलवेयर, जिसे एविलनम के नाम से जाना जाता है, सक्रिय विकास के अधीन है, और प्रूफप्वाइंट वर्तमान में देख रहा है कि साइबर आपराधिक गतिविधि धीमी नहीं हो रही है, ”प्रूफपॉइंट पर थ्रेट रिसर्च और डिटेक्शन के उपाध्यक्ष शेरोड डेग्रिप्पो ने टिप्पणी की।
अभियानों के दौरान
प्रूफपॉइंट ने दिसंबर 2021 में पहला अभियान देखा। TA4563 द्वारा भेजे गए संदेश वित्तीय प्लेटफॉर्म पंजीकरण या संबंधित दस्तावेजों से संबंधित होने का दावा करते हैं। Microsoft Word दस्तावेज़ों का उपयोग एविलनम पिछले दरवाजे के अद्यतन संस्करण को वितरित करने के लिए किया गया था।
2022 की शुरुआत में, समूह ने ISO या .LNK फ़ाइल की ओर इशारा करते हुए कई OneDrive URL का उपयोग करके मूल ईमेल अभियान पर एक नए बदलाव के साथ वित्तीय कंपनियों को लक्षित करना जारी रखा। ऐसा करने के लिए, हमलावरों ने प्राप्तकर्ता को ईविलनम पेलोड चलाने के लिए बरगलाने के लिए वित्तीय लालच का इस्तेमाल किया। बाद के अभियानों ने ईविलनम के लिए एक अतिरिक्त वितरण चैनल के रूप में एक संपीड़ित .LNK फ़ाइल भी भेजी।
जबकि हैकिंग समूह ने इस वर्ष के मध्य में अपने उद्देश्य को बनाए रखा, इसकी कार्यप्रणाली फिर से बदल गई। 2022 के मध्य के अभियानों में, TA4563 ने दूरस्थ टेम्पलेट डाउनलोड करने के लिए डिज़ाइन किए गए Microsoft Word दस्तावेज़ वितरित किए। संलग्न दस्तावेज़ "http://outlookfnd[.]com" डोमेन के साथ फ़ाइल एक्सचेंज उत्पन्न करता है जो संभवतः ईविलनम से संबंधित साइबर अपराधियों द्वारा नियंत्रित किया जाता है।
एविलनम से खतरा
एविलनम मैलवेयर और TA4563 समूह वित्तीय संगठनों के लिए एक वास्तविक खतरा पैदा करते हैं। प्रूफपॉइंट के विश्लेषण के अनुसार, TA4563 मैलवेयर अभी भी सक्रिय विकास में है। हालांकि सुरक्षा विशेषज्ञों ने अभी तक अनुवर्ती पेलोड का अवलोकन नहीं किया है, अन्य सुरक्षा शोधकर्ताओं की रिपोर्ट से संकेत मिलता है कि ऐसा करने के लिए एविलनम मैलवेयर का उपयोग किया जा सकता है। TA4563 ने विभिन्न तरीकों का उपयोग करके पीड़ितों को फंसाने के अपने प्रयासों को अनुकूलित किया है। इसलिए, संगठनों को सतर्क रहना चाहिए और अपने कर्मचारियों को साइबर अपराधियों की हमेशा बदलती रणनीति और रणनीति के साथ बने रहने के लिए शिक्षित करना चाहिए।
प्रूफपॉइंट डॉट कॉम पर अधिक
प्रूफपॉइंट के बारे में प्रूफपॉइंट, इंक. एक अग्रणी साइबर सुरक्षा कंपनी है। प्रूफपॉइंट का फोकस कर्मचारियों की सुरक्षा है। क्योंकि इनका मतलब किसी कंपनी के लिए सबसे बड़ी पूंजी है, लेकिन सबसे बड़ा जोखिम भी। क्लाउड-आधारित साइबर सुरक्षा समाधानों के एक एकीकृत सूट के साथ, प्रूफपॉइंट दुनिया भर के संगठनों को लक्षित खतरों को रोकने में मदद करता है, उनके डेटा की रक्षा करता है, और एंटरप्राइज़ आईटी उपयोगकर्ताओं को साइबर हमलों के जोखिमों के बारे में शिक्षित करता है।