Proofpoint の脅威研究チームは、TA4563 と呼ばれるハッカー グループが、EvilNum マルウェアでさまざまなヨーロッパの金融および投資会社を標的にしていることを確認しました。
EvilNum は、データを盗んだり、追加のマルウェア ペイロードをダウンロードしたりするために使用できるバックドアです。 このグループが最近観察したキャンペーンは、分散型金融セクター (分散型金融: DeFi) の企業のみを対象としていました。 ただし、以前は、外国為替ビジネスや暗号通貨の取引に関与する組織も攻撃者の標的になりました。
DeathStalker または EvilNum が動作中
Proofpoint は調査中に、TA4563 の活動が、一般に DeathStalker または EvilNum として知られるグループに関連する攻撃と部分的に重複していることを発見しました。 Proofpoint によって観察されたアクティビティの一部は、2022 年 XNUMX 月に Zscaler によって説明された EvilNum 攻撃とも重複しています。
Proofpoint のセキュリティ専門家によって現在特定されているキャンペーンは、2021 年後半から 2022 年前半にかけて EvilNum バックドアの更新版を配布していました。 犯罪者は、ISO、Microsoft Word、およびリンク ファイル (LNK) を使用して、さまざまな種類の攻撃を組み合わせて使用しました。 これはおそらく、普及方法の有効性をテストすることを目的としていました。
「金融機関、特にヨーロッパで仮想通貨を扱っている企業は、TA4563 の活動に注意する必要があります。 EvilNum として知られるこのグループのマルウェアは活発に開発されており、Proofpoint は現在、サイバー犯罪活動が減速していないことを観察しています」と、Proofpoint の脅威調査および検出担当副社長である Sherrod DeGrippo はコメントしています。
キャンペーンの流れ
Proofpoint は、2021 年 4563 月に最初のキャンペーンを観察しました。 TAXNUMX によって送信されたメッセージは、金融プラットフォームの登録または関連文書に関連しているとされていました。 EvilNum バックドアの更新版を配布するために、Microsoft Word ドキュメントが使用されました。
2022 年初頭、このグループは、ISO または .LNK ファイルのいずれかを指す複数の OneDrive URL を使用して、元の電子メール キャンペーンの新しいバリエーションで引き続き金融会社を標的にしました。 これを行うために、攻撃者は金銭的なルアーを使用して、受信者をだまして EvilNum ペイロードを実行させました。 その後のキャンペーンでも、圧縮された .LNK ファイルが EvilNum の追加の配布チャネルとして送信されました。
ハッキング グループは今年の半ばまでその目的を維持していましたが、その方法論は再び変化しました。 2022 年半ばのキャンペーンで、TA4563 はリモート テンプレートをダウンロードするように設計された Microsoft Word ドキュメントを配布しました。 添付文書は、ドメイン「http://outlookfnd[.]com」とのファイル交換を生成しました。このドメインは、EvilNum に関連するサイバー犯罪者によって制御されている可能性があります。
EvilNum からの危険
EvilNum マルウェアと TA4563 グループは、金融機関に真の脅威をもたらします. Proofpoint の分析によると、TA4563 マルウェアはまだ活発に開発されています. セキュリティの専門家はまだ追加のペイロードを確認していませんが、他のセキュリティ研究者からの報告では、EvilNum マルウェアがそのために使用された可能性があることが示されています。 TA4563 は、さまざまな方法を使用して被害者を捕まえる試みを適応させてきました。 そのため、組織は警戒を怠らず、絶えず変化するサイバー犯罪者の戦術と戦術に遅れずについていくように従業員を教育する必要があります。
さらに詳しくは、proofpoint.com をご覧ください
プルーフポイントについて Proofpoint, Inc. は、大手サイバーセキュリティ企業です。 Proofpoint の焦点は、従業員の保護です。 これらは企業にとって最大の資本であると同時に、最大のリスクでもあるからです。 Proofpoint は、クラウドベースのサイバーセキュリティ ソリューションの統合スイートにより、世界中の組織が標的型脅威を阻止し、データを保護し、サイバー攻撃のリスクについて企業の IT ユーザーを教育するのに役立ちます。