ESET ist den Hackern von Evilnum auf die Spur gekommen. Die Cyberkriminellen sind seit 2018 aktiv und greifen mit Advanced Persistent Threats (APT) vor allem Finanztechnologiefirmen an. Abgesehen von der Vorliebe der Gruppe für Fintech-Ziele ist jedoch nur wenig über die Werkzeuge, Techniken oder potenziellen Verbindungen der Gruppe zu anderen Cyberattackern erforscht worden. Nach Angaben des ESET Forscher-Teams hat sich Evilnum auf Ziele in Europa und Großbritannien konzentriert, obwohl sich einige Opfer auch in Australien und Kanada befinden.
Wie bei vielen Cyberangreifern, die sich auf finanzielle Ziele spezialisiert haben, besteht das Ziel darin, Unternehmensnetzwerke zu infiltrieren, sich Zugangsdaten zu beschaffen und wertvolle Finanzinformationen zu stehlen, die dann entweder für betrügerische Käufe verwendet oder in großen Mengen an andere Kriminelle weiterverkauft werden können.
Der Angriffsvektor von Evilnum folgt dem Muster, sich dem Ziel mit Spearphishing-E-Mails zu nähern. Während Standard-Phishing-E-Mails oft in „Spray and Pray“-Taktiken verwendet werden, nutzen diese Nachrichten Social Engineering und enthalten Informationen, die den Vertretern des technischen Supports und den Kundenbetreuern die E-Mails als echt erscheinen lassen.
Die E-Mails enthalten einen Link zu einer .zip-Datei, die auf Google Drive gehostet wird. Nach dem Extrahieren führen bösartige .LNK-Dateien zu Köderdokumenten, bei denen es sich scheinbar um Dateien handelt, die sich auf KYC-Daten (Know Your Customer) beziehen, z. B. Kopien von Führerscheinen oder Rechnungen mit Adressnachweis.
Diese Dokumente führen dann jedoch eine Reihe von bösartigen Angriffen aus, um Unternehmensnetzwerke zu kompromittieren. Das Toolset von Evilnum hat sich in den letzten Jahren weiterentwickelt und umfasst nun auch benutzerdefinierte Malware – einschließlich der Evilnum-Malware-Familie – sowie Hacker-Tools, die von Golden Chickens erworben wurden, einer Gruppe, die laut ESET ein Malware-as-a-Service (MaaS)-Anbieter ist, der auch FIN6 und Cobalt Group zu seinen Kunden zählt.
Zu diesen Tools gehören ActiveX-Komponenten (OCX-Dateien), die TerraLoader enthalten, einen Dropper für andere Malware, die den Golden Chickens-Kunden zur Verfügung gestellt wird, wie z.B. die Hintertür More_eggs, eine Suite zur Entführung von DLL-Suchaufträgen und ein ausgeklügeltes Programm für den Fernzugriff.
„Wir glauben, dass FIN6, Cobalt Group und Evilnum Group nicht dasselbe sind, trotz der Überschneidungen in ihren Toolsets. Sie teilen sich nur zufällig denselben Malware as a Service (MaaS)-Provider“, bemerkte ESET.
Wenn ein Opfer ein Köderdokument öffnet, wird die Malware Evilnum, Python-basierte Tools oder Komponenten von Golden Chicken gestartet. Jedes Tool verfügt über eine Verbindung zu einem separaten Command-and-Control (C2)-Server und arbeitet unabhängig voneinander, sei es für Informationsdiebstahl, Persistenz, den Einsatz zusätzlicher Malware oder andere bösartige Funktionen.
Die Hauptnutzlast von Evilnum konzentriert sich auf den Diebstahl, einschließlich aller im Google Chrome-Browser gespeicherten Kontoanmeldeinformationen sowie Cookies, und wird infizierte Systeme nach Kreditkarteninformationen, Ausweisdokumenten, Kundenlisten, Investitions- und Handelsdokumenten, Softwarelizenzen und VPN-Konfigurationen durchsuchen.
Die Forscher haben die Gruppe mit einer Vielzahl von Fintech-basierten Angriffen in Verbindung gebracht, glauben aber nicht, dass dies ausreicht, um sie derzeit mit irgendeinem anderen APT in Verbindung zu bringen.
„Die Ziele sind sehr spezifisch und nicht zahlreich“, erklärt ESET. „Dies und der Einsatz legitimer Instrumente in der Angriffskette der Gruppe haben ihre Aktivitäten weitgehend im Verborgenen gehalten. Wir konnten uns den Punkten anschließen und herausfinden, wie die Gruppe arbeitet, wobei wir einige Überschneidungen mit anderen bekannten APT-Gruppen aufgedeckt haben. Wir glauben, dass diese und andere Gruppen denselben MaaS-Anbieter nutzen, und die Evilnum-Gruppe kann noch nicht mit früheren Angriffen einer anderen APT-Gruppe in Verbindung gebracht werden.“
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…