Evilnum greift Fintechs an

ESET ist den Hackern von Evilnum auf die Spur gekommen. Die Cyberkriminellen sind seit 2018 aktiv und greifen mit Advanced Persistent Threats (APT) vor allem Finanztechnologiefirmen an.  Abgesehen von der Vorliebe der Gruppe für Fintech-Ziele ist jedoch nur wenig über die Werkzeuge, Techniken oder potenziellen Verbindungen der Gruppe zu anderen Cyberattackern erforscht worden. Nach Angaben des ESET Forscher-Teams hat sich Evilnum auf Ziele in Europa und Großbritannien konzentriert, obwohl sich einige Opfer auch in Australien und Kanada befinden.

Wie bei vielen Cyberangreifern, die sich auf finanzielle Ziele spezialisiert haben, besteht das Ziel darin, Unternehmensnetzwerke zu infiltrieren, sich Zugangsdaten zu beschaffen und wertvolle Finanzinformationen zu stehlen, die dann entweder für betrügerische Käufe verwendet oder in großen Mengen an andere Kriminelle weiterverkauft werden können.

Der Angriffsvektor von Evilnum folgt dem Muster, sich dem Ziel mit Spearphishing-E-Mails zu nähern. Während Standard-Phishing-E-Mails oft in „Spray and Pray“-Taktiken verwendet werden, nutzen diese Nachrichten Social Engineering und enthalten Informationen, die den Vertretern des technischen Supports und den Kundenbetreuern die E-Mails als echt erscheinen lassen.

Die E-Mails enthalten einen Link zu einer .zip-Datei, die auf Google Drive gehostet wird. Nach dem Extrahieren führen bösartige .LNK-Dateien zu Köderdokumenten, bei denen es sich scheinbar um Dateien handelt, die sich auf KYC-Daten (Know Your Customer) beziehen, z. B. Kopien von Führerscheinen oder Rechnungen mit Adressnachweis.

Diese Dokumente führen dann jedoch eine Reihe von bösartigen Angriffen aus, um Unternehmensnetzwerke zu kompromittieren.  Das Toolset von Evilnum hat sich in den letzten Jahren weiterentwickelt und umfasst nun auch benutzerdefinierte Malware – einschließlich der Evilnum-Malware-Familie – sowie Hacker-Tools, die von Golden Chickens erworben wurden, einer Gruppe, die laut ESET ein Malware-as-a-Service (MaaS)-Anbieter ist, der auch FIN6 und Cobalt Group zu seinen Kunden zählt.

Zu diesen Tools gehören ActiveX-Komponenten (OCX-Dateien), die TerraLoader enthalten, einen Dropper für andere Malware, die den Golden Chickens-Kunden zur Verfügung gestellt wird, wie z.B. die Hintertür More_eggs, eine Suite zur Entführung von DLL-Suchaufträgen und ein ausgeklügeltes Programm für den Fernzugriff.

„Wir glauben, dass FIN6, Cobalt Group und Evilnum Group nicht dasselbe sind, trotz der Überschneidungen in ihren Toolsets. Sie teilen sich nur zufällig denselben Malware as a Service (MaaS)-Provider“, bemerkte ESET.

Wenn ein Opfer ein Köderdokument öffnet, wird die Malware Evilnum, Python-basierte Tools oder Komponenten von Golden Chicken gestartet. Jedes Tool verfügt über eine Verbindung zu einem separaten Command-and-Control (C2)-Server und arbeitet unabhängig voneinander, sei es für Informationsdiebstahl, Persistenz, den Einsatz zusätzlicher Malware oder andere bösartige Funktionen.

Die Hauptnutzlast von Evilnum konzentriert sich auf den Diebstahl, einschließlich aller im Google Chrome-Browser gespeicherten Kontoanmeldeinformationen sowie Cookies, und wird infizierte Systeme nach Kreditkarteninformationen, Ausweisdokumenten, Kundenlisten, Investitions- und Handelsdokumenten, Softwarelizenzen und VPN-Konfigurationen durchsuchen.

Die Forscher haben die Gruppe mit einer Vielzahl von Fintech-basierten Angriffen in Verbindung gebracht, glauben aber nicht, dass dies ausreicht, um sie derzeit mit irgendeinem anderen APT in Verbindung zu bringen.

„Die Ziele sind sehr spezifisch und nicht zahlreich“, erklärt ESET. „Dies und der Einsatz legitimer Instrumente in der Angriffskette der Gruppe haben ihre Aktivitäten weitgehend im Verborgenen gehalten. Wir konnten uns den Punkten anschließen und herausfinden, wie die Gruppe arbeitet, wobei wir einige Überschneidungen mit anderen bekannten APT-Gruppen aufgedeckt haben. Wir glauben, dass diese und andere Gruppen denselben MaaS-Anbieter nutzen, und die Evilnum-Gruppe kann noch nicht mit früheren Angriffen einer anderen APT-Gruppe in Verbindung gebracht werden.“