ESET团队详细分析了Evilnum恶意组织的运作方式及其部署的工具集,该工具集会针对金融科技行业中精心选择的目标发动攻击。
0x00 概述
ESET详细分析了Evilnum恶意组织的运作方式,Evilnum是Evilnum恶意软件背后的APT恶意组织,此前曾经针对金融科技类公司发动攻击。自2018年以来,该恶意组织就已经进入到人们的事业中,并且曾有研究人员对其分析,但是,此前却从没有研究过其背后的恶意组织以及运行模式。
在本文中,我们将不同点结合起来,详细分析Evilnum的恶意活动。该恶意组织所针对的目标仍然是金融科技公司,但其使用的工具集和基础架构已经不断发展,目前使用的是自定义的恶意软件和从Golden Chickens购买的工具。Golden Chickens是恶意软件即服务(MaaS)厂商,其知名客户包括FIN6恶意组织和Cobalt恶意组织。
0x01 目标
根据ESET的遥测技术,该恶意组织所针对的目标都是金融科技公司,例如一些提供在线交易平台和工具的公司。尽管大多数目标都位于欧盟国家和英国,但我们也同时看到了该恶意组织针对澳大利亚和加拿大等国家的攻击。通常,目标公司在多个地区都设有办事处,这就解释了为什么攻击地域会出现多样性的原因。
Evilnum恶意组织的主要目的是监视其目标,奇热从目标公司或客户那里获取财务信息。该恶意组织窃取的信息包括:
1、包含客户清单、投资和交易信息的电子表格和文档;
2、内部演示;
3、交易软件或平台的软件许可证和凭据;
4、来自浏览器的Cookie和会话信息;
5、电子邮件凭据;
6、客户信用卡、地址、身份证明文件。
根据我们在调查中的发现,该恶意组织还获取了与IT相关的信息的访问权限,例如VPN配置。
0x02 攻击概述
恶意组织通过鱼叉式电子邮件的方式接近其目标,在电子邮件中包含指向Google网盘的链接,实际上是一个ZIP压缩文件。在压缩文件中,包含几个快捷方式(LNK)文件,这些文件在显示诱饵文档的同时提取并执行恶意的JavaScript组件。在Windows中,默认情况下会隐藏已知类型的文件扩展名。因此,这些快捷方式文件具有双重扩展名,以试图诱导用户认为它们是合法文档或图片并打开。其中一个压缩文件的内容如下图所示。
恶意LNK文件:
在打开任一快捷方式文件后,将在文件内容中查找带有特定标记的行,并将其写入.js文件。然后,执行该恶意JavaScript文件,写入并打开一个诱饵文件,该诱饵文件的名称与快捷方式相同,但扩展名是正确的。此后,将删除快捷方式文件。用作诱饵的文件主要是信用卡、身份证或地址证明票据的照片,因为根据规定,许多金融机构在新客户注册时会要求客户提供这些文件。下图展示了一个这样的诱饵,为保护个人信息,已经对关键内容进行模糊处理。
用作诱饵的证件照片:
这些诱饵文件似乎是真实的,我们推测它们可能是在恶意组织的多年运营过程中不断收集的。当前该组织在运营过程中积极收集这类文档,因为他们主要是针对技术支持代表和客户经理发起攻击,而这两个角色会定期从客户处收到这类文件。除非目标来自不同的地区,否则该组织会针对不同的目标重复使用这些文档。
在攻击的第一阶段,攻击者使用了JavaScript组件,他们可以部署其他恶意软件,例如C#间谍组件、Golden Chickens组件或几种基于Python的工具。在以前,其他研究人员将Evilnum命名为C#组件,但同时也将JS组件称为Evilnum。而我们根据核心恶意软件的名称来命名该恶意组织,并将各类恶意软件都称为组件。概述如图3所示。
Evilnum组件:
每个组件都有其自身的C&C服务器,并且每个组件独立运行。恶意软件的运营人员手动发送命令安装其他组件,并在必要时使用攻陷后的脚本和工具。
恶意软件使用的大多数服务器都是通过IP地址引用的,他们还尚未使用域名。唯一的例外是Golden Chickens组件使用的C&C服务器。如后文所述,这是从MaaS提供厂商处购买的恶意软件。
根据托管服务提供商,可以将这些用到的IP地址分为两组。其中的大多数都是由乌克兰的服务提供商FreeHost托管,其余的由荷兰的服务提供商Dotsi托管。
0x03 JS组件:初始阶段
该组件与C&C服务器进行通信,在无需任何其他程序的情况下即可作为后门使用。但是,在我们看到的大多数攻击中,攻击者会根据需要部署其他组件,并且仅在第一阶段使用JS恶意软件。
我们看到有文章在2018年5月首次提及这个JavaScript恶意软件。自那时开始,恶意软件发生了变化,我们在下图中说明了这些变化。
JS组件更改的时间表
最低0.47元/天 解锁文章
扫一扫
476
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
