Evilnum APT Bilgisayar Korsanları Grubu Word Belgelerini Kullanarak Windows'a Saldırıyor

ThreatLabz'den araştırmacılar, bir APT tehdit aktörü olan Evilnum'un, bir kez daha Avrupa finans ve yatırım kurumlarını hedef alan eski numaralarına bağlı olduğunu ve bazı yenilenmiş faaliyet belirtileri olduğunu ortaya çıkardı.

Evilnum kullanılarak veriler çalınabilir veya sisteme ek yükler yüklenebilir. Evilnum kötü amaçlı yazılımı, algılanmaktan kaçınmanın yanı sıra, tanımlanan virüsten koruma yazılımına bağlı olarak bulaşma yollarını da değiştirir.

Aşağıdaki sektörlerde faaliyet gösterenler de dahil olmak üzere bu program tarafından bir dizi kuruluş hedeflenmektedir:

• Döviz
• Kripto para birimi
• Merkezi olmayan finans (DeFi)

Görünüşe göre, sonuncusundan birkaç ay sonra, 2021'in ikinci yarısında yeni bir saldırı dalgası başladı.

Saldırı Akışı

Daha geniş siber güvenlik topluluğunda, Evilnum TA4563 ve DeathStalker isimleriyle bilinir ve 2018'den beri aktiftir. Sonuç olarak, aşağıdaki aktiviteleri yapabilen isimsiz arka kapının (backdoor) konuşlandırılmasıyla sonuçlanan bir enfeksiyon zincirine sahiptir:

• Keşif
• Veri hırsızlığı
• Ek yükleri alma

En son faaliyet turu sırasında, aşağıdakiler de dahil olmak üzere çeşitli yaklaşımları birleştiren gözden geçirilmiş TTP'ler dahil edilmiştir:

• Microsoft Word
• Iso
• Windows Kısayolu (LNK) dosyaları

Kurbanlara, tüm bu dosyaları ek olarak içeren bir spear kimlik avı e-postası gönderildi.

2022'nin sonlarında araştırmacılar, alıcıları kötü amaçlı .LNK dosyalarına eklenmiş kötü niyetli ZIP arşivlerini açmaya ikna etmek için finansal teşvikler kullananlar da dahil olmak üzere kampanyanın çeşitli varyantlarını tespit ettiler.

Word belgelerini dağıtma yöntemi, 2022'nin ortalarında bir kez daha, uzak bir şablonu almaya ve saldırgan tarafından denetlenen bir etki alanına bağlanmaya çalışan bir mekanizma içerecek şekilde değiştirildi.

Kripto para birimine ilgi duyan kuruluşların, özellikle de Avrupa merkezli kuruluşların TA4563 faaliyetlerinden etkilenmesi çok muhtemeldir.

Buna göre, siber güvenlik uzmanları, kötü niyetli saldırılardan kaçınmak için önümüzdeki günlerde TA4563 grubunun tüm yasadışı faaliyetlerini izlemelerini şiddetle tavsiye ettiler.

"TA4563'ün kötü amaçlı yazılımı aktif olarak geliştiriliyor. Proofpoint, tanımlanan kampanyalarda dağıtılan takip yüklerini gözlemlememiş olsa da, üçüncü taraf raporları, Golden Chickens kötü amaçlı yazılımı aracılığıyla sunulan araçlar da dahil olmak üzere ek kötü amaçlı yazılımları dağıtmak için EvilNum kötü amaçlı yazılımlarından yararlanılabileceğini gösteriyor." Proofpoint araştırmacıları söyledi.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.