Η ομάδα hacking Evilnum έχει επιστρέψει με μία νέα επιχείρηση, που αυτή τη φορά στοχεύει ευρωπαϊκές οργανώσεις που ασχολούνται με τη μετανάστευση.
Δείτε επίσης: Log4Shell: Χρησιμοποιείται ακόμα για hacking σε διακομιστές VMware
Η Evilnum είναι μια APT, που είναι ενεργή τουλάχιστον από το 2018 και οι επιχειρήσεις και τα εργαλεία της εκτέθηκαν το 2020.
Η ESET είχε δημοσιεύσει μια τεχνική έκθεση που περιλάμβανε τις τακτικές της ομάδας εναντίον εταιρειών στον τομέα της χρηματοοικονομικής τεχνολογίας, χρησιμοποιώντας προσαρμοσμένο, «σπιτικό» κακόβουλο λογισμικό.
Η τελευταία έκθεση είναι έργο των αναλυτών της Zscaler, οι οποίοι παρακολουθούσαν τη δραστηριότητα της ομάδας Evilnum από τις αρχές του 2022, καταγράφοντας ευρήματα από τις επιθέσεις.
Η στόχευση και το χρονοδιάγραμμα συνέπεσαν με τη ρωσική εισβολή στην Ουκρανία, με βασικούς οργανισμούς μετανάστευσης να λαμβάνουν κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν έγγραφα με μακροεντολές.
Τα έγγραφα αυτά, φέρουν διαφορετικά ονόματα αρχείων, που συνήθως περιέχουν τον όρο “συμμόρφωση“. Η Zscaler εντόπισε τουλάχιστον εννέα διαφορετικά έγγραφα, που όλα αναφέρονται στην ενότητα IoC της έκθεσης.
Το συνημμένο εκμεταλλεύεται την τεχνική εισαγωγής προτύπου και κωδικοποίησης VBA για να αποφύγει τον εντοπισμό, οδηγώντας στην εκτέλεση πολύ ασαφούς JavaScript.
Αυτό με τη σειρά του, αποκρυπτογραφεί και απορρίπτει ένα πρόγραμμα φόρτωσης κακόβουλου λογισμικού (“SerenadeDACplApp.exe”) και ένα κρυπτογραφημένο δυαδικό αρχείο (“devZUQVD.tmp”) και δημιουργεί επίσης μια προγραμματισμένη εργασία (“UpdateModel Task”) για επιμονή.
Δείτε ακόμα: Δίκη για απάτη και κλοπή ταυτότητας δοκιμάζει τον αμερικανικό νόμο κατά του hacking
Το πρόγραμμα φόρτωσης εκτελεί προκαταρκτικούς ελέγχους και φορτώνει το δυαδικό αρχείο κάτω από ένα όνομα αρχείου που έχει εξαχθεί. Η δυαδική έγχυση γίνεται χρησιμοποιώντας την παλιά τεχνική “Heaven’s gate” για να αποφευχθεί η ανίχνευση AV.
Αυτή η τεχνική περιλαμβάνει την επίκληση κώδικα 64 bit σε διεργασίες 32 bit και ενώ έχει μετριαστεί στα Windows 10, το Evilnum εξακολουθεί να τον χρησιμοποιεί για να στοχεύει μηχανήματα που εκτελούν παλαιότερες εκδόσεις λειτουργικού συστήματος.
Το backdoor που είναι φορτωμένο στο παραβιασμένο σύστημα εκτελεί τις ακόλουθες λειτουργίες:
- Αποκρυπτογραφεί τη διαμόρφωση του backdoor (τομείς C2, συμβολοσειρές παράγοντα χρήστη, διαδρομές δικτύου, συμβολοσειρές παραπομπής, συμβολοσειρές τύπου cookie)
- Επιλύει διευθύνσεις API από τις βιβλιοθήκες που ανακτήθηκαν από τη διαμόρφωση
- Πραγματοποιεί έλεγχο mutex
- Δημιουργεί συμβολοσειρά εξαγωγής δεδομένων για αποστολή ως μέρος του αιτήματος beacon
- Κρυπτογραφεί και κωδικοποιεί τη συμβολοσειρά που δημιουργήθηκε με το Base64
- Ενσωματώνει την κωδικοποιημένη συμβολοσειρά μέσα στο πεδίο κεφαλίδας cookie επιλέγοντας μία από τις συμβολοσειρές τύπου cookie από τη διαμόρφωση
Μόλις ολοκληρωθούν όλα τα βήματα, το backdoor επιλέγει έναν τομέα C2 και μια συμβολοσειρά διαδρομής από τη διαμόρφωση και στέλνει ένα αίτημα δικτύου beacon. Το C2 μπορεί να απαντήσει με νέο κρυπτογραφημένο ωφέλιμο φορτίο.
Δείτε επίσης: Eternity Project: Το malware κιτ που προσφέρει εργαλεία hacking
Επιπλέον, το backdoor συλλαμβάνει στιγμιότυπα μηχανήματος και τα στέλνει στο C2 μέσω αιτημάτων POST, διεισδύοντας κλεμμένα δεδομένα σε κρυπτογραφημένη μορφή.
Συνιστάται στους οργανισμούς, να χρησιμοποιούν τα IoC που παρέχονται από την Zscaler για την προστασία των δικτύων τους.
