Το Evilnum malware έχει εντοπιστεί στον χώρο των απειλών της κυβερνοασφάλειας από το 2018, με την APT ομάδα που βρίσκεται πίσω από αυτό να συνδέεται με μία σειρά επιθέσεων που έχουν ως στόχο εταιρείες χρηματοοικονομικής τεχνολογίας (Fintech). Ωστόσο, πέρα από το γεγονός ότι η hacking ομάδα του Evilnum συνδέεται με επιθέσεις σε Fintech εταιρείες, ελάχιστες πληροφορίες είναι γνωστές όσον αφορά τα εργαλεία, τις τεχνικές ή τους πιθανούς δεσμούς αυτών το επιθέσεων με άλλους κυβερνοεγκληματίες.
Ερευνητές της ESET μελετούν την APT ομάδα εδώ και πολύ καιρό, και πριν λίγες μέρες δημοσίευσαν μια ανάλυση αναφορικά με αυτήν. Σύμφωνα με τους ερευνητές, η hacking ομάδα του Evilnum έχει επικεντρώσει τις επιθέσεις της σε στόχους που βρίσκονται στην Ευρώπη και στο Ηνωμένο Βασίλειο, αν και ορισμένα θύματα βρίσκονται και στην Αυστραλία και τον Καναδά. Όπως συμβαίνει με πολλούς κυβερνοεγκληματίες που στοχεύουν χρηματοοικονομικούς οργανισμούς, στόχος της hacking ομάδας του Evilnum είναι να διεισδύσει σε εταιρικά δίκτυα, να αποκτήσει credentials πρόσβασης και να κλέψει πολύτιμα οικονομικά στοιχεία, τα οποία μπορούν είτε να χρησιμοποιηθούν για “δόλιες” αγορές είτε να πουληθούν σε άλλους εγκληματίες.
Η λογική της ομάδας του Evilnum είναι κοινή. Αρχικά, προσεγγίζει τον στόχο με phishing email. Aυτά τα phishing email χρησιμοποιούν, στη συνέχεια, το social engineering και περιέχουν πληροφορίες που κάνουν τα email να φαίνονται γνήσια σε εκπροσώπους τεχνικής υποστήριξης και διαχειριστές λογαριασμών. Επιπλέον, τα email περιέχουν έναν σύνδεσμο για ένα αρχείο .zip που φιλοξενείται στο Google Drive. Μόλις εξαχθεί, κακόβουλα αρχεία .LNK θα οδηγήσουν σε έγγραφα μου μοιάζουν με αρχεία τα οποία υποτίθεται ότι αφορούν KYC. Ωστόσο, αυτά τα έγγραφα θα εκτελέσουν μια σειρά κακόβουλων στοιχείων με στόχο να θέσουν σε κίνδυνο τα εταιρικά δίκτυα.
Τα εργαλεία της ομάδας του Evilnum έχουν εξελιχθεί τα τελευταία χρόνια, περιλαμβάνοντας τώρα προσαρμοσμένα malware, συμπεριλαμβανομένης της οικογένειας του Evilnum malware, καθώς και πειρατικά εργαλεία που αγοράστηκαν από την Golden Chickens, μια ομάδα που η ESET υποστηρίζει πως είναι πάροχος Malware-as-a-Service (MaaS), που επίσης περιέχει τις hacking ομάδες FIN6 και Cobalt Group μεταξύ των πελατών της. Αυτά τα εργαλεία περιλαμβάνουν, μεταξύ άλλων, στοιχεία ελέγχου ActiveX που περιέχουν το TerraLoader malware. Οι ερευνητές της ESET πιστεύουν πως οι ομάδες FIN6, Cobalt Group και Evilnum δεν είναι οι ίδιες, αλλά τυγχάνει απλώς να έχουν τον ίδιο πάροχο MaaS.
Εάν ένα θύμα ανοίξει ένα έγγραφο – “δόλωμα”, θα εκκινήσει το Evilnum malware, τα εργαλεία που βασίζονται σε Python ή Golden Chickens components. Κάθε εργαλείο έχει ένα link για έναν ξεχωριστό command-and-control server (C2) και λειτουργεί ανεξάρτητα, με στόχο την κλοπή πληροφοριών, την ανάπτυξη πρόσθετων κακόβουλων προγραμμάτων ή άλλες κακόβουλες λειτουργίες. Το βασικό Evilnum payload επικεντρώνεται στην κλοπή, συμπεριλαμβανομένων τυχόν credentials λογαριασμών που έχουν αποθηκευτεί στον Google Chrome browser, καθώς και σε cookies, και αναζητά σε μολυσμένα συστήματα στοιχεία πιστωτικών καρτών, έγγραφα ταυτότητας, λίστες πελατών, έγγραφα επενδύσεων και συναλλαγών, άδειες λογισμικού και VPN configurations.
Οι ερευνητές έχουν συνδέσει την ομάδα με μια ποικιλία επιθέσεων που στοχεύουν κυρίως Fintech εταιρείες, αλλά δεν πιστεύουν ότι αυτό είναι αρκετό για να την συνδέσουν με κάποια APT ομάδα προς το παρόν. Ειδικότερα, η ESET αναφέρει πως οι στόχοι είναι πολύ συγκεκριμένοι και όχι πολυάριθμοι. Αυτό, σε συνδυασμό με την χρήση νόμιμων εργαλείων της ομάδας στην αλυσίδα επιθέσεων, έχουν διατηρήσει τις δραστηριότητές της σε μεγάλο βαθμό σε “χαμηλό προφίλ”. Τέλος, η ESET σημειώνει πως η ομάδα του Evilnum και άλλες ομάδες έχουν τον ίδιο πάροχο MaaS, ενώ η ομάδα του Evilnum δεν μπορεί ακόμη να συσχετιστεί με προηγούμενες επιθέσεις από οποιαδήποτε άλλη APT ομάδα.
