Cybercriminelen richten zich op Europese financiële en gedecentraliseerde financiële organisaties

TA4563 is een groep die Proofpoint sinds eind 2021 tot op heden volgt. Van deze groep is waargenomen dat ze verschillende Europese financiële en investeringsplatforms hebben aangevallen met de malware die bekend staat als EvilNum, voornamelijk gericht op organisaties in de Decentralized Finance (DeFi)-sector. TA4563 heeft enige overlap met de activiteiten die Proofpoint in verband brengt met een groep genaamd DeathStalker en EvilNum. De activiteiten die in dit onderzoek worden beschreven, hebben ook enige overlap met EvilNum-activiteiten die in juni 2022 door Zscaler zijn onthuld. 

Campagne details

Proofpoint observeerde de eerste campagne in december 2021. De berichten beweerden betrekking te hebben op de registratie van financiële handelsplatformen of gerelateerde documenten. De eerste waargenomen campagne omvatte een poging tot aflevering van Microsoft Word-documenten. Hiermee werd geprobeerd om de vernieuwde versie van de EvilNum-backdoor te installeren.   

Deze berichten maakten gebruik van een op afstand gemaakt sjabloondocument dat volgens analisten probeerde te communiceren met domeinen om verschillende LNK loader-componenten te installeren. Zo werd wscript gebruikt om de EvilNum payload in te laden, en een JavaScript payload die uiteindelijk op de host van de gebruiker werd geïnstalleerd. Deze lokmiddelen hadden een financiële inslag. Zo werd er bijvoorbeeld gesuggereerd dat het beoogde slachtoffer "eigendomsbewijzen van vermiste documenten" moest overleggen.

Begin 2022 

De groep bleef zich richten op financiële instellingen. De oorspronkelijke e-mailcampagne werd nog een keer herhaald, waarbij werd geprobeerd meerdere OneDrive URL's te leveren die een ISO- of .LNK-bijlage bevatten. In geïdentificeerde campagnes gebruikte de cybercriminelen financiële lokmiddelen om de ontvanger de EvilNum payload te laten activeren. Het bericht zag eruit als volgt:

    From: “Viktoria Helle” <viktoria.helle79@zingamail[.]uk>
    Subject: Re: Reminder to submit your proof of identity and address

De campagnes bleven gericht op specifieke Europese financiële en investeringsorganisaties.  
Daarna werd er ook een direct gecomprimeerd .LNK-bestand bijgevoegd, bedoeld als een extra poging om EvilNum te installeren.

Midden 2022

Naarmate de groep consistent door bleef gaan met cyberaanvallen, veranderde de werkwijze opnieuw. In campagnes van midden 2022 leverde TA4563 Microsoft Word-documenten af in een poging om op afstand een sjabloon te downloaden.

EvilNum details

Eerdere versies van EvilNum die publiekelijk zijn gemeld door beveiligingsorganisaties bevatten zowel een JavaScript-component als een C#-component van de backdoor. Proofpoint heeft geen JavaScript-component waargenomen in recente aanvallen en heeft de C#-component geanalyseerd die in meerdere recente campagnes is waargenomen. 
 
Elke cyberaanval is sterk beveiligd; de malware staat slechts één download per IP-adres toe om ervoor te zorgen dat alleen het doelwit de uiteindelijke payload kan ontvangen. De LNK loader van het eerste stadium is verantwoordelijk voor het uitvoeren van PowerShell via cmd.exe, deze downloadt vervolgens twee verschillende payloads van de initiële host (bijv. infntio[.]com).  
 
De eerste payload is verantwoordelijk voor het uitvoeren van twee PowerShell scripts. 
 
Met de eerste payload wordt een PNG gedecodeerd en wordt er via een logische procedure de infectieketen opnieuw opgestart. Het tweede, grotere PowerShell script laadt C# code dynamisch en stuurt screenshots naar een command-and-control server (C2). Deze C#-toepassing voert vervolgens een ander PowerShell-commando uit. 
 
Er worden meerdere toepassingen uitgevoerd, afhankelijk van welke antivirussoftware - Avast, AVG of Windows Defender - op de host is aangetroffen. De malware zal proberen meerdere bestanden te starten die zich waarschijnlijk al op de host bevinden (bijv. TechToolkit.exe en nvapiu.exe). De uitvoeringsketen van de malware wordt gewijzigd om detectie door de geïdentificeerde antivirusengine zo goed mogelijk te omzeilen.  
 
De tweede payload bevat twee versleutelde blobs. De eerste wordt gedecodeerd naar een uitvoerbaar bestand (bijv. hpfde.exe) en de tweede naar een TMP-bestand (bijv. devXYXY5.tmp). Het eerste uitvoerbare bestand leest en decodeert het TMP-bestand om een 53KB shellcode bestand te laden, met als resultaat een gedecodeerd en gedecomprimeerd PE bestand.
 
De EvilNum backdoor kan worden gebruikt voor opsporings- en data-diefstalactiviteiten en om follow-on payloads binnen te halen.  

Conclusie

EvilNum-malware en de TA4563-groep vormen een risico voor financiële organisaties. Gebaseerd op onderzoek van Proofpoint is de malware van TA4563 in ontwikkeling. Hoewel Proofpoint geen follow-on payloads heeft waargenomen die zijn ingezet in de vastgestelde campagnes, geeft extern onderzoek aan dat de EvilNum-malware kan worden gebruikt om malware te verspreiden. TA4563 heeft zijn pogingen om slachtoffers te compromitteren aangepast door gebruik te maken van verschillende leveringsmethoden. Proofpoint heeft deze activiteit waargenomen en detectie-updates geleverd om deze activiteit te dwarsbomen. Het is echter belangrijk op te merken dat de groep zijn werkwijzen zal blijven aanpassen om zijn beoogde doelstellingen te bereiken.

Het volledige onderzoek is hier te vinden.