Evilnum kehrt in die Ransomware-Phase zurück

Seit Anfang 2022 analysiert das Team von Zscaler ThreatLabz die verstärkte Aktivität der APT Group Evilnum in der Zscaler-Cloud mit Ausrichtung auf Europa. Mit neuen Technologien und Prozessen stehen vor allem Finanzdienstleister in den Bereichen Handel und Compliance im Visier.

Mit dem jüngsten Auftauchen haben die Angreifer damit begonnen, MS Office Word-Dokumente und die Injektion von Dokumentvorlagen zu verwenden, um die bösartige Payload an den Computer des Opfers zu liefern. Sicherheitsforscher konnten mehrere damit verbundene Bereiche identifizieren Evilnum APT Sammlung Verbunden und bisher unbekannt.

In früheren Kampagnen verwendete diese Bedrohungsgruppe Windows Shortcut-Dateien (LNK), die in ZIP-Dateien (Bösartige Archivdateien) gebündelt und als Anhänge in Phishing-E-Mails an die Opfer gesendet wurden, als Hauptverbreitungsvektor. Seit März 2022 ist eine Veränderung bei der Wahl der Angriffsziele zu beobachten. Seitdem sind zwischenstaatliche Organisationen, die sich mit internationalen Migrationsdiensten befassen, angegriffen worden. Zeitpunkt und Art der gewählten Ziele fielen mit dem Beginn des russisch-ukrainischen Konflikts zusammen.

Zscaler Evilnum-Screenshot-Vorlage

Bild: Screenshot eines gehackten Modells

Im ersten Schritt befindet sich das Dokument mit Schadcode SpeerfischenVerbreitung von Post. Wenn der Benutzer dieses Dokument herunterlädt und öffnet, besteht der zweite Schritt darin, die Makrovorlage von der von den Angreifern registrierten Website neu zu laden. Der Benutzer wird aufgefordert, das Makro zu aktivieren. Makrocode verwendet VBA-Code-DOS-Technologie, um den ursprünglichen Quellcode zu zerstören und durch die kompilierte Version des VBA-Makrocodes im Dokument zu ersetzen.

Sehr undurchsichtiges JavaScript wird verwendet, um die Nutzdaten auf dem Endpunkt abzulegen. Dann wird die gespeicherte Binärdatei basierend auf der geplanten Startzeit ausgeführt. Dieses JavaScript zeigt signifikante Verbesserungen in der Verschleierungstechnologie gegenüber früheren Versionen, die von der Evilnum APT-Gruppe verwendet wurden. Die Namen aller während der Ausführung erstellten Dateisystemelemente wurden vom Angreifer sorgfältig ausgewählt, um die Namen legitimer Windows- und anderer legitimer Binärdateien von Drittanbietern nachzuahmen. Bei jeder neuen Instanz der Kampagne registrierte die APT-Gruppe mehrere Domänennamen mit spezifischen Schlüsselwörtern im Zusammenhang mit der Zielbranche.

Mark Loeck, CISO EMEA bei Zscaler, kommentiert: „Sicherheitsanalysten müssen die Anatomie des Angriffs berücksichtigen, um die Rolle zu verstehen, die Phishing oder in diesem Fall Spear-Phishing spielt, wenn Unternehmen überlegen, wie sie sich präsentieren RansomwareAngriffe, sie müssen früh in der Angriffskette eine Gegenstrategie entwickeln.“

Der Zeitpunkt der Wiederaufnahme der Aktivitäten der APT-Gruppe und der Changing Techniques, Tactics, and Processes (TTP) ist nach wie vor bemerkenswert. Für Unternehmen ist es von entscheidender Bedeutung, Phishing-E-Mails erkennen und isolieren zu können, bevor bösartiger Code ausgeführt wird. In der Zscaler Cloud Sandbox werden neue Technologien erkannt und rechtzeitig gestoppt.

Mehr Informationen:

Lesen Sie die vollständige Analyse im Blog hier drüben.

www.zscaler.com

Leave a Comment

%d bloggers like this: