Група дослідників загроз Proofpoint спостерігала за хакерською групою під назвою TA4563, яка атакувала різні європейські фінансові та інвестиційні компанії за допомогою шкідливого програмного забезпечення EvilNum.
EvilNum — це бекдор, який можна використовувати для викрадення даних або завантаження додаткового шкідливого програмного забезпечення. Останні кампанії, за якими спостерігала група, були націлені виключно на компанії з децентралізованого фінансового сектора (Decentralized Finance: DeFi). Однак раніше в поле зору зловмисників потрапляли організації, які займаються валютним бізнесом або торгівлею криптовалютами.
DeathStalker або EvilNum на роботі
Під час розслідування Proofpoint виявив, що діяльність TA4563 частково збігається з атаками, зазвичай пов’язаними з групою, відомою як DeathStalker або EvilNum. Деякі дії, які спостерігав Proofpoint, також збігаються з атаками EvilNum, описаними Zscaler у червні 2022 року.
Кампанії, визначені експертами з безпеки Proofpoint, розповсюдили оновлену версію бекдору EvilNum наприкінці 2021 року та на початку 2022 року. Зловмисники використовували суміш різних типів атак за допомогою ISO, Microsoft Word і файлів посилань (LNK). Ймовірно, це мало на меті перевірити ефективність методів розповсюдження.
«Фінансові компанії, особливо ті, що займаються криптовалютами в Європі, повинні знати про діяльність TA4563. Зловмисне програмне забезпечення групи, відоме як EvilNum, знаходиться в стадії активної розробки, і Proofpoint наразі спостерігає, що діяльність кіберзлочинців не сповільнюється», — прокоментував Шеррод ДеГріппо, віце-президент із дослідження та виявлення загроз Proofpoint.
хід кампаній
Proofpoint спостерігав за першою кампанією в грудні 2021 року. Повідомлення, надіслані TA4563, нібито стосуються реєстрації фінансової платформи або пов’язаних документів. Для розповсюдження оновленої версії бекдору EvilNum використовувалися документи Microsoft Word.
На початку 2022 року група продовжила націлюватися на фінансові компанії за допомогою нового варіанту оригінальної електронної кампанії, використовуючи кілька URL-адрес OneDrive, які вказують на файл ISO або .LNK. Для цього зловмисники використовували фінансову приманку, щоб обманом змусити одержувача запустити корисне навантаження EvilNum. Наступні кампанії також надсилали стислий файл .LNK як додатковий канал розповсюдження для EvilNum.
Хоча хакерська група зберігала свою мету в середині цього року, її методологія знову змінилася. У кампаніях середини 2022 року TA4563 поширював документи Microsoft Word, призначені для завантаження віддаленого шаблону. Вкладений документ ініціював обмін файлами з доменом «http://outlookfnd[.]com», який, імовірно, контролюється кіберзлочинцями, пов’язаними з EvilNum.
Небезпека від EvilNum
Шкідлива програма EvilNum і група TA4563 становлять реальну загрозу для фінансових організацій.Згідно з аналізом Proofpoint, шкідлива програма TA4563 все ще знаходиться в активній розробці. Хоча експерти з безпеки ще не спостерігали подальшого корисного навантаження, звіти інших дослідників безпеки вказують на те, що для цього може використовуватися зловмисне програмне забезпечення EvilNum. TA4563 адаптував свої спроби ловити жертв в пастку за допомогою різних методів. Таким чином, організації повинні залишатися пильними та навчати своїх співробітників, щоб не відставати від тактики та тактики кіберзлочинців, які постійно змінюються.
Більше на proofpoint.com
Про Proofpoint Proofpoint, Inc. є провідною компанією з кібербезпеки. У центрі уваги Proofpoint – захист працівників. Оскільки це означає найбільший капітал для компанії, але також і найбільший ризик. Завдяки інтегрованому пакету хмарних рішень кібербезпеки Proofpoint допомагає організаціям у всьому світі зупиняти цілеспрямовані загрози, захищати їхні дані та навчати корпоративних ІТ-користувачів про ризики кібератак.