Il team di ricerca sulle minacce di Proofpoint ha osservato che il gruppo di hacker, soprannominato TA4563, prende di mira varie società finanziarie e di investimento europee con il malware EvilNum
EvilNum è una backdoor che può essere utilizzata per rubare dati o scaricare ulteriori payload di malware. Le campagne osservate più di recente dal gruppo hanno preso di mira esclusivamente le aziende del settore della finanza decentralizzata (Decentralized Finance: DeFi). In precedenza, tuttavia, anche le organizzazioni coinvolte nel commercio di cambi o nel commercio di criptovalute erano finite nel mirino degli aggressori.
DeathStalker o EvilNum al lavoro
Durante la sua indagine, Proofpoint ha scoperto che le attività di TA4563 si sovrappongono parzialmente agli attacchi comunemente associati a un gruppo noto come DeathStalker o EvilNum. Alcune delle attività osservate da Proofpoint si sovrappongono anche agli attacchi EvilNum descritti da Zscaler nel giugno 2022.
Le campagne ora identificate dagli esperti di sicurezza di Proofpoint hanno distribuito una versione aggiornata della backdoor EvilNum tra la fine del 2021 e l'inizio del 2022. I criminali hanno utilizzato una combinazione di diversi tipi di attacchi utilizzando ISO, Microsoft Word e file di collegamento (LNK). Questo probabilmente aveva lo scopo di testare l'efficacia dei metodi di diffusione.
“Le società finanziarie, in particolare quelle che si occupano di criptovalute in Europa, dovrebbero essere a conoscenza delle attività di TA4563. Il malware del gruppo, noto come EvilNum, è in fase di sviluppo attivo e Proofpoint sta attualmente osservando che l'attività dei criminali informatici non sta rallentando", ha commentato Sherrod DeGrippo, vicepresidente della ricerca e rilevamento delle minacce di Proofpoint.
corso delle campagne
Proofpoint ha osservato la prima campagna nel dicembre 2021. I messaggi inviati da TA4563 presumibilmente erano relativi alla registrazione della piattaforma finanziaria o ai documenti correlati. I documenti Microsoft Word sono stati utilizzati per distribuire una versione aggiornata della backdoor EvilNum.
All'inizio del 2022, il gruppo ha continuato a rivolgersi alle società finanziarie con una nuova variante della campagna e-mail originale, utilizzando più URL di OneDrive che puntano a un file ISO o .LNK. Per fare ciò, gli aggressori hanno utilizzato un'esca finanziaria per indurre il destinatario a eseguire il payload EvilNum. Le campagne successive hanno anche inviato un file .LNK compresso come canale di distribuzione aggiuntivo per EvilNum.
Mentre il gruppo di hacking ha mantenuto il suo obiettivo a metà di quest'anno, la sua metodologia è cambiata di nuovo. Nelle campagne di metà 2022, TA4563 ha distribuito documenti Microsoft Word progettati per scaricare un modello remoto. Il documento allegato ha generato scambi di file con il dominio "http://outlookfnd[.]com" che è probabilmente controllato dai criminali informatici legati a EvilNum.
Pericolo dal maleNum
Il malware EvilNum e il gruppo TA4563 rappresentano una vera minaccia per le organizzazioni finanziarie e, secondo l'analisi di Proofpoint, il malware TA4563 è ancora in fase di sviluppo attivo. Sebbene gli esperti di sicurezza non abbiano ancora osservato un payload di follow-up, i rapporti di altri ricercatori di sicurezza indicano che il malware EvilNum potrebbe essere utilizzato per farlo. TA4563 ha adattato i suoi tentativi di intrappolare le vittime utilizzando una varietà di metodi. Pertanto, le organizzazioni dovrebbero rimanere vigili ed educare i propri dipendenti a tenere il passo con le tattiche e le tattiche in continua evoluzione dei criminali informatici.
Altro su proofpoint.com
A proposito di Proofpoint Proofpoint, Inc. è un'azienda leader nella sicurezza informatica. L'obiettivo di Proofpoint è la protezione dei dipendenti. Perché questi significano il capitale più grande per un'azienda, ma anche il rischio più grande. Con una suite integrata di soluzioni di sicurezza informatica basate su cloud, Proofpoint aiuta le organizzazioni di tutto il mondo a bloccare le minacce mirate, proteggere i propri dati e istruire gli utenti IT aziendali sui rischi degli attacchi informatici.