Cybercriminelen richten zich op Europese financiële en gedecentraliseerde financiële organisaties

proofpoint

TA4563 is een groep die Proofpoint sinds eind 2021 tot op heden volgt. Van deze groep is waargenomen dat ze verschillende Europese financiële en investeringsplatforms hebben aangevallen met de malware die bekend staat als EvilNum, voornamelijk gericht op organisaties in de Decentralized Finance (DeFi)-sector. TA4563 heeft enige overlap met de activiteiten die Proofpoint in verband brengt met een groep genaamd DeathStalker en EvilNum. De activiteiten die in dit onderzoek worden beschreven, hebben ook enige overlap met EvilNum-activiteiten die in juni 2022 door Zscaler zijn onthuld

Campagne details

 

Proofpoint observeerde de eerste campagne in december 2021. De berichten beweerden betrekking te hebben op de registratie van financiële handelsplatformen of gerelateerde documenten. De eerste waargenomen campagne omvatte een poging tot aflevering van Microsoft Word-documenten. Hiermee werd geprobeerd om de vernieuwde versie van de EvilNum-backdoor te installeren.   

 

Deze berichten maakten gebruik van een op afstand gemaakt sjabloondocument dat volgens analisten probeerde te communiceren met domeinen om verschillende LNK loader-componenten te installeren. Zo werd wscript gebruikt om de EvilNum payload in te laden, en een JavaScript payload die uiteindelijk op de host van de gebruiker werd geïnstalleerd. Deze lokmiddelen hadden een financiële inslag. Zo werd er bijvoorbeeld gesuggereerd dat het beoogde slachtoffer "eigendomsbewijzen van vermiste documenten" moest overleggen.

 

Begin 2022 


De groep bleef zich richten op financiële instellingen. De oorspronkelijke e-mailcampagne werd nog een keer herhaald, waarbij werd geprobeerd meerdere OneDrive URL's te leveren die een ISO- of .LNK-bijlage bevatten. In geïdentificeerde campagnes gebruikte de cybercriminelen financiële lokmiddelen om de ontvanger de EvilNum payload te laten activeren. Het bericht zag eruit als volgt:

 

    From: “Viktoria Helle” <viktoria.helle79@zingamail[.]uk>
    Subject: Re: Reminder to submit your proof of identity and address

 

De campagnes bleven gericht op specifieke Europese financiële en investeringsorganisaties.  
Daarna werd er ook een direct gecomprimeerd .LNK-bestand bijgevoegd, bedoeld als een extra poging om EvilNum te installeren.

 

Midden 2022


Naarmate de groep consistent door bleef gaan met cyberaanvallen, veranderde de werkwijze opnieuw. In campagnes van midden 2022 leverde TA4563 Microsoft Word-documenten af in een poging om op afstand een sjabloon te downloaden.

 

 

EvilNum details


Eerdere versies van EvilNum die publiekelijk zijn gemeld door beveiligingsorganisaties bevatten zowel een JavaScript-component als een C#-component van de backdoor. Proofpoint heeft geen JavaScript-component waargenomen in recente aanvallen en heeft de C#-component geanalyseerd die in meerdere recente campagnes is waargenomen. 
 
Elke cyberaanval is sterk beveiligd; de malware staat slechts één download per IP-adres toe om ervoor te zorgen dat alleen het doelwit de uiteindelijke payload kan ontvangen. De LNK loader van het eerste stadium is verantwoordelijk voor het uitvoeren van PowerShell via cmd.exe, deze downloadt vervolgens twee verschillende payloads van de initiële host (bijv. infntio[.]com).  
 
De eerste payload is verantwoordelijk voor het uitvoeren van twee PowerShell scripts. 
 
Met de eerste payload wordt een PNG gedecodeerd en wordt er via een logische procedure de infectieketen opnieuw opgestart. Het tweede, grotere PowerShell script laadt C# code dynamisch en stuurt screenshots naar een command-and-control server (C2). Deze C#-toepassing voert vervolgens een ander PowerShell-commando uit. 
 
Er worden meerdere toepassingen uitgevoerd, afhankelijk van welke antivirussoftware - Avast, AVG of Windows Defender - op de host is aangetroffen. De malware zal proberen meerdere bestanden te starten die zich waarschijnlijk al op de host bevinden (bijv. TechToolkit.exe en nvapiu.exe). De uitvoeringsketen van de malware wordt gewijzigd om detectie door de geïdentificeerde antivirusengine zo goed mogelijk te omzeilen.  
 
De tweede payload bevat twee versleutelde blobs. De eerste wordt gedecodeerd naar een uitvoerbaar bestand (bijv. hpfde.exe) en de tweede naar een TMP-bestand (bijv. devXYXY5.tmp). Het eerste uitvoerbare bestand leest en decodeert het TMP-bestand om een 53KB shellcode bestand te laden, met als resultaat een gedecodeerd en gedecomprimeerd PE bestand.
 
De EvilNum backdoor kan worden gebruikt voor opsporings- en data-diefstalactiviteiten en om follow-on payloads binnen te halen.  

 

 

Conclusie


EvilNum-malware en de TA4563-groep vormen een risico voor financiële organisaties. Gebaseerd op onderzoek van Proofpoint is de malware van TA4563 in ontwikkeling. Hoewel Proofpoint geen follow-on payloads heeft waargenomen die zijn ingezet in de vastgestelde campagnes, geeft extern onderzoek aan dat de EvilNum-malware kan worden gebruikt om malware te verspreiden. TA4563 heeft zijn pogingen om slachtoffers te compromitteren aangepast door gebruik te maken van verschillende leveringsmethoden. Proofpoint heeft deze activiteit waargenomen en detectie-updates geleverd om deze activiteit te dwarsbomen. Het is echter belangrijk op te merken dat de groep zijn werkwijzen zal blijven aanpassen om zijn beoogde doelstellingen te bereiken.

 

Het volledige onderzoek is hier te vinden.

Lees ook
Ransomwarebesmettingen eerste kwartaal al verdubbeld ten opzichte van 2021

Ransomwarebesmettingen eerste kwartaal al verdubbeld ten opzichte van 2021

Het totale aantal ransomwarebesmettingen was in het eerste kwartaal van dit jaar al verdubbeld ten opzichte van heel 2021. Dat concludeert WatchGuard Technologies in de nieuwste editie van het Internet Security Report. De securityspecialist signaleert daarnaast een groei in Powerscript-aanvallen en kwaadaardige cryptomining.

Fortinet: 93% van alle organisaties met OT-omgevingen kreeg het afgelopen jaar te maken met hackers

Fortinet: 93% van alle organisaties met OT-omgevingen kreeg het afgelopen jaar te maken met hackers

Fortinet, publiceert zijn 2022 State of Operational Technology and Cybersecurity Report, dat gebruik maakt van cijfers van een wereldwijd onderzoek. Hieruit blijkt dat industriële besturingssystemen een doelwit voor cybercriminelen blijven vormen en dat 93% van alle bedrijven met operationele technologie (OT) de afgelopen 12 maanden met indringers te...

De financiële impact van gecompromitteerde zakelijke e-mail accounts

De financiële impact van gecompromitteerde zakelijke e-mail accounts

Business E-mail Compromise (BEC) is snel uitgegroeid tot een duur hoofdpijndossier voor organisaties over de hele wereld. In 2020 heeft BEC slachtoffers meer dan 1,8 miljard dollar gekost. Dat is bijna de helft van de totale schade aan cybercriminaliteit.