Proofpoint'in tehdit araştırma ekibi, TA4563 adlı hacker grubunun EvilNum kötü amaçlı yazılımıyla çeşitli Avrupa finans ve yatırım firmalarını hedef aldığını gözlemledi.
EvilNum, verileri çalmak veya ek kötü amaçlı yazılım yüklerini indirmek için kullanılabilen bir arka kapıdır. Grubun en son gözlemlenen kampanyaları, yalnızca merkezi olmayan finans sektöründeki şirketleri hedef aldı (Merkezi Olmayan Finans: DeFi). Ancak daha önce, döviz ticareti yapan veya kripto para ticareti yapan kuruluşlar da saldırganların hedefi haline geldi.
DeathStalker veya EvilNum iş başında
Araştırması sırasında Proofpoint, TA4563'ün faaliyetlerinin, genellikle DeathStalker veya EvilNum olarak bilinen bir grupla ilişkilendirilen saldırılarla kısmen örtüştüğünü tespit etti. Proofpoint tarafından gözlemlenen faaliyetlerin bir kısmı, Haziran 2022'de Zscaler tarafından açıklanan EvilNum saldırılarıyla da örtüşüyor.
Artık Proofpoint'in güvenlik uzmanları tarafından belirlenen kampanyalar, 2021'in sonlarında ve 2022'nin başlarında EvilNum arka kapısının güncellenmiş bir sürümünü dağıttı. Suçlular, ISO, Microsoft Word ve bağlantı dosyalarını (LNK) kullanarak farklı türde saldırıların bir karışımını kullandılar. Bu muhtemelen yaygınlaştırma yöntemlerinin etkinliğini test etmeyi amaçlıyordu.
“Finansal firmalar, özellikle Avrupa'da kripto para birimleriyle uğraşanlar, TA4563'ün faaliyetlerinden haberdar olmalıdır. Grubun EvilNum olarak bilinen kötü amaçlı yazılımı aktif olarak geliştiriliyor ve Proofpoint şu anda siber suç faaliyetinin yavaşlamadığını gözlemliyor,” diye yorumladı Proofpoint'te tehdit araştırma ve tespitten sorumlu başkan yardımcısı Sherrod DeGrippo.
kampanyaların gidişatı
Proofpoint, Aralık 2021'de ilk kampanyayı gözlemledi. TA4563 tarafından gönderilen mesajların, finansal platform kaydı veya ilgili belgelerle ilgili olduğu iddia edildi. EvilNum arka kapısının güncellenmiş bir sürümünü dağıtmak için Microsoft Word belgeleri kullanıldı.
Grup, 2022'nin başlarında, bir ISO veya .LNK dosyasına işaret eden birden çok OneDrive URL'si kullanarak orijinal e-posta kampanyasının yeni bir varyasyonuyla finans şirketlerini hedeflemeye devam etti. Bunu yapmak için saldırganlar, alıcıyı EvilNum yükünü çalıştırması için kandırmak için mali bir cazibe kullandı. Sonraki kampanyalar ayrıca EvilNum için ek bir dağıtım kanalı olarak sıkıştırılmış bir .LNK dosyası gönderdi.
Bilgisayar korsanlığı grubu bu yılın ortalarında hedefini korurken, metodolojisi yeniden değişti. 2022 ortası kampanyalarında TA4563, uzak bir şablonu indirmek için tasarlanmış Microsoft Word belgelerini dağıttı. Ekli belge, EvilNum ile ilgili siber suçlular tarafından büyük olasılıkla kontrol edilen "http://outlookfnd[.]com" etki alanıyla dosya alışverişi oluşturdu.
EvilNum'dan gelen tehlike
EvilNum kötü amaçlı yazılımı ve TA4563 grubu, finansal kuruluşlar için gerçek bir tehdit oluşturuyor.Proofpoint'in analizine göre, TA4563 kötü amaçlı yazılımı hala aktif geliştirme aşamasında. Güvenlik uzmanları henüz bir takip yükü gözlemlememiş olsa da, diğer güvenlik araştırmacılarının raporları EvilNum kötü amaçlı yazılımının bunu yapmak için kullanılabileceğini gösteriyor. TA4563, çeşitli yöntemler kullanarak kurbanları tuzağa düşürme girişimlerini uyarlamıştır. Bu nedenle, kuruluşlar uyanık kalmalı ve çalışanlarını siber suçluların sürekli değişen taktiklerine ve taktiklerine ayak uydurmaları için eğitmelidir.
Daha fazlası proofpoint.com'da
Prova Noktası Hakkında Proofpoint, Inc. önde gelen bir siber güvenlik şirketidir. Proofpoint'in odak noktası, çalışanların korunmasıdır. Çünkü bunlar bir şirket için en büyük sermaye, aynı zamanda en büyük risk anlamına gelir. Entegre bir bulut tabanlı siber güvenlik çözümleri paketiyle Proofpoint, dünyanın dört bir yanındaki kuruluşların hedeflenen tehditleri durdurmasına, verilerini korumasına ve kurumsal BT kullanıcılarını siber saldırı riskleri konusunda eğitmesine yardımcı olur.