DarkCasino行动：APT组织Evilnum近期攻击事件深入分析

概述

近期，绿盟科技伏影实验室捕获了一系列针对欧洲国家的网络钓鱼活动。这些活动主要针对线上赌博平台，目标为通过攻击此类服务背后的活跃的线上交易行为，窃取服务商和消费者的交易凭据，进而获取非法收益。

通过深入分析，伏影实验室确定该系列活动是APT组织Evilnum近期攻击活动（http://blog.nsfocus.net/agentvxapt-
evilnum/）的延续。与既往活动相比，Evilnum攻击者在本次行动中继承了其代表性的攻击手法，但使用了更多样的攻击流程与复杂的攻击组件，并启用了两种新型木马程序DarkMe与PikoloRAT，展现了其较高的工具开发能力、流程设计能力与丰富的攻防对抗经验。同时，因为不同攻击流程的设计思路与具体实现存在明显差异，伏影实验室认为有多个攻击者同时参与了此次行动。

通过提取攻击目标与主要木马程序的关键词并组合，伏影实验室将Evilnum的该起行动命名为DarkCasino。该起行动表明Evilnum仍然以在线交易平台为主要目标，能够迅速发现网络犯罪机会并执行攻击。

截至报告发布时，该DarkCasino行动仍在持续。

组织信息

Evilnum是一个在2018年被发现的APT组织，活跃于英国和欧盟国家，主要攻击目标为金融科技公司，目的为通过窃取交易凭证盗取公司或个人账户资金。组织名称Evilnum来自同名的木马程序，亦被卡巴斯基称为DeathStalker。

Evilnum的代表性攻击手段是将恶意程序伪装成客户的身份ID文件，欺骗金融公司的工作人员运行这些程序，进而通过植入间谍木马获得受害者主机上的高价值信息。

Evilnum有较强的开发能力，能够设计复杂的攻击流程和攻击组件。绿盟科技伏影实验室曾捕获和披露该组织具有高完成度的攻击流程和一款stub型木马AgentVX。

影响面分析

分析发现，Evilnum本次行动的受害者主要分布于欧洲与加拿大，其直接攻击目标包括一家名为scatters的涉赌平台。

已发现的攻击流程中，Evilnum使用以下字符串作为诱饵文件名：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ntpoTOPl-1691631755781)(https://image.3001.net/images/20220606/1654494219_629d940bbdd9a52e8ed58.png!small)]

上述内容中的Scatters Casino是一家由马耳他公司Gammix
Limited运营的涉赌平台，这些诱饵文件一边尝试将自身伪装为线上交易证明或广告投放服务促销文件以攻击scatters的运营人员，一方面也尝试伪装为scatters促销广告来攻击scatters的用户，从而使Evilnum攻击者能够获取这些目标的主机上保存的交易凭证或相关信息。

对各式诱饵文档的来源进行统计，伏影实验室发现本次DarkCasino活动的受害者广泛分布于马耳他、波兰、塞浦路斯、亚美尼亚、西班牙、瑞士、法国、爱尔兰等欧洲国家，以及加拿大、以色列甚至新加坡、菲律宾等非欧洲国家：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-79RfJv0s-1691631755785)(https://image.3001.net/images/20220606/1654494295_629d9457e0cfc41d89840.png!small)]

DarkCasino行动受害者分布情况

可以发现受害者地理位置以马耳他为核心，辐射至多个可能使用scatters网站服务的国家。

scatters的涉赌平台平台成立于2019年，扩张十分迅速。目前，scatters网站声称其涉赌平台服务拥有价值2.3亿欧元的奖池，这可能是Evilnum本次行动将其作为目标的主要原因。

此外，一些信息表明，DarkCasino行动有可能是一场规模更大且更持久的网络攻击活动的一部分。IoC关联线索显示，Evilnum的部分资产可以关联至一场从2021年下半年开始延续至2022年年初的，针对加密货币相关交易平台和用户的网络攻击活动。在这场活动中，攻击者主要投递了大量带有签名的ParallaxRAT和NetWire木马，用于窃取目标主机信息，其主要影响目标主要集中在欧洲国家。虽然攻击者在该活动中使用的诱饵形式及网络资源与DarkCasino行动存在一定程度的关联，但伏影实验室尚未获取直接证据证明该活动同样是Evilnum所为，该攻击者可能是以合作的形式借用Evilnum资产并加入其行动中。

攻击流程分析

本次行动中，Evilnum组织攻击者主要创建了三类不同的攻击流程。三类流程以不同类型的诱饵文件为起始，通过访问公有资源或失陷站点获取隐写图片，提取其中的DarkMe木马载荷内容后用不同的方式加载执行。

攻击流程A

这是Evilnum攻击者最早实现的一类攻击流程，同时也是组件复杂度最高的流程。关键组件的最早发现日期为5月2日。

研究不同的组件时发现，该攻击流程包含两种变型，分别为创建时间为4月28日的，从网络位置获取内容的流程A1；以及创建时间为5月1日的，不需要联网下载内容的流程A2。两种变型的实际执行过程相似。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NgTjYpOm-1691631755786)(https://image.3001.net/images/20220606/1654494436_629d94e45ab4f4af13f5e.png!small)]

上图为流程A1的图示。该流程与伏影实验室稍早披露的Evilnum组织AgentVX攻击活动（http://blog.nsfocus.net/agentvxapt-
evilnum/）非常类似，由InstallShield安装程序、侧加载程序、加密ShellcodeLoader、隐写图片以及DarkMe木马程序构成。

伪装成PIF文件的InstallShield程序启动后，会执行安装程序的一般流程，在系统%TEMP%目录下释放内置的文件并运行其中的合法程序python.exe。

python.exe启动后会以侧加载的形式运行携带恶意代码的python39.dll程序，从而启动其中的一段shellcode。

python39.dl中恶意shellcode的功能为读取同目录下的time.wav文件并解密提取其中的下一阶段shellcode代码，随后启动cmd.exe傀儡进程并将下一阶段shellcode分段注入其中，并将从time.ini中读取的一段url地址字符串作为shellcode的启动参数写入cmd.exe傀儡进程中。

cmd.exe傀儡进程中的shellcode会从上述url地址获取一张隐写图片，并通过内置的图像处理模块从图像中提取第三阶段的shellcode并运行。

第三阶段的shellcode会尝试将内置的DarkMe木马注入至另一cmd.exe傀儡进程中运行。该DarkMe木马通信CnC为cspapop110.com。

攻击流程B

这是最早在5月9日观测到的一类攻击流程，相关文件显示流程的构建时间为5月3日。

上图为流程B的图示。该过程中，攻击者沿袭了组织的一贯思路，通过投递带有恶意mshta指令的快捷方式诱饵文件，访问受控wordpress站点获取后续的指令代码并运行。

本流程的关键阶段在于通过访问第二阶段站点获取的三个文件P.exe,
PI.txt与IMG.jpg。被P.exe加载后，主要loader木马PI.txt会提取IMG.jpg中隐藏的可执行文件ShellRunDllVb.dll，并通过创建名为Register.reg的注册表文件将该dll文件注册为系统组件{A762B0C7-5244-4B3E-ADED-D549E9CEA39E}。loader木马最终通过rundll32
/sta命令执行该组件。

上述操作最终执行的是名为DarkMe的间谍木马程序，通信CnC为cspapop110.com。

攻击流程C

Evilnum攻击者在5月19日补充了一种更精简的流程。

上图为流程C的图示。该流程通过伪装成scr文件的loader木马发起。木马通过直接访问内置的url链接获取一张隐写图像，随后提取其中的ShellRunDllVb.dll文件并加载执行。该dll文件同样是DarkMe木马，通信CnC为kalpoipolpmi.net。

总结

DarkCasino行动是一场正在发生的，针对网络交易现金流的APT攻击活动。Evilnum在该行动中使用了多种经过不断改良的攻击手法和工具，展现了其敏锐的对抗意识。

分析表明， DarkCasino行动的影响范围并不局限于欧洲，在Evilnum攻击者的运营下，本次攻击最终辐射到了部分亚洲国家，有可能造成意料之外的危害。

为有效防范本次APT行动，应尤其注意通过各种渠道传递的LNK、PIF、SCR、COM类型文件，提高对带有offer、visa、casino等关键词的文件的警觉性，避免因Evilnum的网络攻击造成直接经济损失。

** 关于伏影实验室**

研究目标包括Botnet、APT高级威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。

tnet、APT高级威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。

网络安全工程师(白帽子)企业级学习路线

第一阶段：安全基础（入门）

第二阶段：Web渗透（初级网安工程师）

第三阶段：进阶部分（中级网络安全工程师）

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资源分享

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-R3WQZIpP-1691631755790)(C:\Users\Administrator\Desktop\网络安全资料图\微信截图_20230201105953.png)]