zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Cybercriminelen richten zich op financiŽle en gedecentraliseerde financiŽle (DeFi) organisaties

EvilNum richt zich op Cryptocurrency, Forex, Grondstoffen

29 juli 2022 - TA4563 is een groep die Proofpoint sinds eind 2021 tot op heden volgt. Van deze groep is waargenomen dat ze verschillende Europese financiële en investeringsplatforms hebben aangevallen met de malware die bekend staat als EvilNum, voornamelijk gericht op organisaties in de Decentralized Finance (DeFi)-sector. TA4563 heeft enige overlap met de activiteiten die Proofpoint in verband brengt met een groep genaamd DeathStalker en EvilNum.

De activiteiten die in dit onderzoek worden beschreven, hebben ook enige overlap met EvilNum-activiteiten die in juni 2022 door Zscaler zijn onthuld


 
Campagne details
Proofpoint observeerde de eerste campagne in december 2021. De berichten beweerden betrekking te hebben op de registratie van financiële handelsplatformen of gerelateerde documenten. De eerste waargenomen campagne omvatte een poging tot aflevering van Microsoft Word-documenten. Hiermee werd geprobeerd om de vernieuwde versie van de EvilNum-backdoor te installeren.   
Deze berichten maakten gebruik van een op afstand gemaakt sjabloondocument dat volgens analisten probeerde te communiceren met domeinen om verschillende LNK loader-componenten te installeren. Zo werd wscript gebruikt om de EvilNum payload in te laden, en een JavaScript payload die uiteindelijk op de host van de gebruiker werd geïnstalleerd. Deze lokmiddelen hadden een financiële inslag. Zo werd er bijvoorbeeld gesuggereerd dat het beoogde slachtoffer "eigendomsbewijzen van vermiste documenten" moest overleggen.
 
Begin 2022 
De groep bleef zich richten op financiële instellingen. De oorspronkelijke e-mailcampagne werd nog een keer herhaald, waarbij werd geprobeerd meerdere OneDrive URL's te leveren die een ISO- of .LNK-bijlage bevatten. In geïdentificeerde campagnes gebruikte de cybercriminelen financiële lokmiddelen om de ontvanger de EvilNum payload te laten activeren. Het bericht zag eruit als volgt:
 
    From: "Viktoria Helle"
    Subject: Re: Reminder to submit your proof of identity and address
 
De campagnes bleven gericht op specifieke Europese financiële en investeringsorganisaties.  
Daarna werd er ook een direct gecomprimeerd .LNK-bestand bijgevoegd, bedoeld als een extra poging om EvilNum te installeren.
 
Midden 2022
Naarmate de groep consistent door bleef gaan met cyberaanvallen, veranderde de werkwijze opnieuw. In campagnes van midden 2022 leverde TA4563 Microsoft Word-documenten af in een poging om op afstand een sjabloon te downloaden.
 
EvilNum details
Eerdere versies van EvilNum die publiekelijk zijn gemeld door beveiligingsorganisaties bevatten zowel een JavaScript-component als een C#-component van de backdoor. Proofpoint heeft geen JavaScript-component waargenomen in recente aanvallen en heeft de C#-component geanalyseerd die in meerdere recente campagnes is waargenomen. 
Elke cyberaanval is sterk beveiligd; de malware staat slechts één download per IP-adres toe om ervoor te zorgen dat alleen het doelwit de uiteindelijke payload kan ontvangen. De LNK loader van het eerste stadium is verantwoordelijk voor het uitvoeren van PowerShell via cmd.exe, deze downloadt vervolgens twee verschillende payloads van de initiële host (bijv. infntio[.]com).  
De eerste payload is verantwoordelijk voor het uitvoeren van twee PowerShell scripts. 
Met de eerste payload wordt een PNG gedecodeerd en wordt er via een logische procedure de infectieketen opnieuw opgestart. Het tweede, grotere PowerShell script laadt C# code dynamisch en stuurt screenshots naar een command-and-control server (C2). Deze C#-toepassing voert vervolgens een ander PowerShell-commando uit. 
Er worden meerdere toepassingen uitgevoerd, afhankelijk van welke antivirussoftware - Avast, AVG of Windows Defender - op de host is aangetroffen. De malware zal proberen meerdere bestanden te starten die zich waarschijnlijk al op de host bevinden (bijv. TechToolkit.exe en nvapiu.exe). De uitvoeringsketen van de malware wordt gewijzigd om detectie door de geïdentificeerde antivirusengine zo goed mogelijk te omzeilen.  
De tweede payload bevat twee versleutelde blobs. De eerste wordt gedecodeerd naar een uitvoerbaar bestand (bijv. hpfde.exe) en de tweede naar een TMP-bestand (bijv. devXYXY5.tmp). Het eerste uitvoerbare bestand leest en decodeert het TMP-bestand om een 53KB shellcode bestand te laden, met als resultaat een gedecodeerd en gedecomprimeerd PE bestand.
De EvilNum backdoor kan worden gebruikt voor opsporings- en data-diefstalactiviteiten en om follow-on payloads binnen te halen.  
 
Conclusie
EvilNum-malware en de TA4563-groep vormen een risico voor financiële organisaties. Gebaseerd op onderzoek van Proofpoint is de malware van TA4563 in ontwikkeling. Hoewel Proofpoint geen follow-on payloads heeft waargenomen die zijn ingezet in de vastgestelde campagnes, geeft extern onderzoek aan dat de EvilNum-malware kan worden gebruikt om malware te verspreiden. TA4563 heeft zijn pogingen om slachtoffers te compromitteren aangepast door gebruik te maken van verschillende leveringsmethoden. Proofpoint heeft deze activiteit waargenomen en detectie-updates geleverd om deze activiteit te dwarsbomen. Het is echter belangrijk op te merken dat de groep zijn werkwijzen zal blijven aanpassen om zijn beoogde doelstellingen te bereiken.
 
Het volledige onderzoek is hier te vinden.
 
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Citrix onderzoek toont verdeeldheid over werken op kantoor
 Werknemer worstelt met lastige IT-beveiligingsprotocollen
 Gefragmenteerde informatie staat optimale customer experience in de weg
 

Gerelateerde nieuwsitems

 Drie eenvoudige tips tegen SIM-swapping
 Vaker volgen van security-trainingen voorkomt cyberincidenten
 ĎAI en ML zijn onmisbaar geworden in cybersecurityí
 Cybercriminelen zijn creatief geworden
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
In welke gevallen moet je aan de slag met een BAV
reacties
Citrix onderzoek toont verdeeldheid over werken op kantoor (1) 
Nederlanders willen vooral buiten kantoor kunnen werken (3) 
Drie eenvoudige tips tegen SIM-swapping (1) 
Nederlander bang voor misleidende online reviews (1) 
Werknemer wil fiets in arbeidsvoorwaardenpakket (1) 
Nederland positieve uitschieter: 62 procent vertrouwt op huidige pensioenstelsel (1) 
Het grote verschil tussen weten en kunnen (1) 
top10
Sterk gestegen hypotheekrente zorgt voor impasse op woningmarkt
ĎExtended realityí brengt hybride werkers weer naar kantoor
Koffie op kantoor: dit komt er allemaal bij kijken
Onderzoek onthult bloeiende ransomware-marktplaats op het dark web
Risicofactoren voor bedrijfssucces in een wereld na de pandemie
Een ambitieuze bedrijfscultuur realiseren: 'Succes hangt af van ongeduld'
Kennismigranten buiten EU zijn interessant arbeidspotentieel voor schaarste arbeidsmarkt
Diverse organisatie trekt accounting talent aan
Een inclusieve werkplek: vier tips om de volgende stappen te zetten
Werknemer die moeilijk rondkomt, zoekt naar manieren om extra te werken
meer top 10