ESET ist den Hackern von Evilnum auf die Spur gekommen. Die Cyberkriminellen sind seit 2018 aktiv und greifen mit Advanced Persistent Threats (APT) vor allem Finanztechnologiefirmen an.  Abgesehen von der Vorliebe der Gruppe für Fintech-Ziele ist jedoch nur wenig über die Werkzeuge, Techniken oder potenziellen Verbindungen der Gruppe zu anderen Cyberattackern erforscht worden. Nach Angaben des ESET Forscher-Teams hat sich Evilnum auf Ziele in Europa und Großbritannien konzentriert, obwohl sich einige Opfer auch in Australien und Kanada befinden.

Wie bei vielen Cyberangreifern, die sich auf finanzielle Ziele spezialisiert haben, besteht das Ziel darin, Unternehmensnetzwerke zu infiltrieren, sich Zugangsdaten zu beschaffen und wertvolle Finanzinformationen zu stehlen, die dann entweder für betrügerische Käufe verwendet oder in großen Mengen an andere Kriminelle weiterverkauft werden können.

Der Angriffsvektor von Evilnum folgt dem Muster, sich dem Ziel mit Spearphishing-E-Mails zu nähern. Während Standard-Phishing-E-Mails oft in „Spray and Pray“-Taktiken verwendet werden, nutzen diese Nachrichten Social Engineering und enthalten Informationen, die den Vertretern des technischen Supports und den Kundenbetreuern die E-Mails als echt erscheinen lassen.

Die E-Mails enthalten einen Link zu einer .zip-Datei, die auf Google Drive gehostet wird. Nach dem Extrahieren führen bösartige .LNK-Dateien zu Köderdokumenten, bei denen es sich scheinbar um Dateien handelt, die sich auf KYC-Daten (Know Your Customer) beziehen, z. B. Kopien von Führerscheinen oder Rechnungen mit Adressnachweis.

Diese Dokumente führen dann jedoch eine Reihe von bösartigen Angriffen aus, um Unternehmensnetzwerke zu kompromittieren.  Das Toolset von Evilnum hat sich in den letzten Jahren weiterentwickelt und umfasst nun auch benutzerdefinierte Malware – einschließlich der Evilnum-Malware-Familie – sowie Hacker-Tools, die von Golden Chickens erworben wurden, einer Gruppe, die laut ESET ein Malware-as-a-Service (MaaS)-Anbieter ist, der auch FIN6 und Cobalt Group zu seinen Kunden zählt.

Zu diesen Tools gehören ActiveX-Komponenten (OCX-Dateien), die TerraLoader enthalten, einen Dropper für andere Malware, die den Golden Chickens-Kunden zur Verfügung gestellt wird, wie z.B. die Hintertür More_eggs, eine Suite zur Entführung von DLL-Suchaufträgen und ein ausgeklügeltes Programm für den Fernzugriff.

„Wir glauben, dass FIN6, Cobalt Group und Evilnum Group nicht dasselbe sind, trotz der Überschneidungen in ihren Toolsets. Sie teilen sich nur zufällig denselben Malware as a Service (MaaS)-Provider“, bemerkte ESET.

Wenn ein Opfer ein Köderdokument öffnet, wird die Malware Evilnum, Python-basierte Tools oder Komponenten von Golden Chicken gestartet. Jedes Tool verfügt über eine Verbindung zu einem separaten Command-and-Control (C2)-Server und arbeitet unabhängig voneinander, sei es für Informationsdiebstahl, Persistenz, den Einsatz zusätzlicher Malware oder andere bösartige Funktionen.

Die Hauptnutzlast von Evilnum konzentriert sich auf den Diebstahl, einschließlich aller im Google Chrome-Browser gespeicherten Kontoanmeldeinformationen sowie Cookies, und wird infizierte Systeme nach Kreditkarteninformationen, Ausweisdokumenten, Kundenlisten, Investitions- und Handelsdokumenten, Softwarelizenzen und VPN-Konfigurationen durchsuchen.

Die Forscher haben die Gruppe mit einer Vielzahl von Fintech-basierten Angriffen in Verbindung gebracht, glauben aber nicht, dass dies ausreicht, um sie derzeit mit irgendeinem anderen APT in Verbindung zu bringen.

„Die Ziele sind sehr spezifisch und nicht zahlreich“, erklärt ESET. „Dies und der Einsatz legitimer Instrumente in der Angriffskette der Gruppe haben ihre Aktivitäten weitgehend im Verborgenen gehalten. Wir konnten uns den Punkten anschließen und herausfinden, wie die Gruppe arbeitet, wobei wir einige Überschneidungen mit anderen bekannten APT-Gruppen aufgedeckt haben. Wir glauben, dass diese und andere Gruppen denselben MaaS-Anbieter nutzen, und die Evilnum-Gruppe kann noch nicht mit früheren Angriffen einer anderen APT-Gruppe in Verbindung gebracht werden.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

3 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

10 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago