在过去的几个月中,Cybereason Nocturnus团队一直在调查了Evilnum恶意组织发起的攻击活动。该组织最初成立于2018年,针对英国和欧盟范围内的公司的几次攻击活动都与这个组织有关。目前,Evilnum开发的恶意工具采用了许多新的技术,根据最近的研究分析,这些恶意软件攻击活动涉及使用JavaScript和C#编写的后门程序,以及通过从恶意软件服务提供商Golden Chickens购买的工具。
与常见的网络钓鱼操作不同,该组织的业务目标似乎很高,主要针对金融科技市场,滥用“了解你的客户规则”(KYC),即客户在开展业务时提供的信息文件。自首次发现以来,该组织主要针对英国和欧盟各地的不同公司。
最近几周,Nocturnus团队观察到Evilnum恶意组织有了新的活动,包括一些与之前观察到的攻击有明显改进的技术。奇热这些变化包括感染链和持久性的改变,随着时间的推移正在扩展的新基础设施,以及使用新的Python脚本远程访问木马(RAT)来监控其受感染的目标。
PyVil RAT具有不同的功能,攻击者能够窃取数据、执行键盘记录和截取屏幕截图,以及部署更多的工具(如LaZagne)以窃取凭证。在本文中,我们将深入探讨Evilnum组织的最新活动,并探索其新的感染链和工具。目前可以确定,攻击者将攻击目标重点对准的是金融部门。经过追踪分析,Evilnum最新开发的工具中具备了许多新的攻击技巧,其中包括:
1.尝试使用合法可执行文件的修改版本,以使安全工具无法检测到;
2.感染链从具有后门功能的JavaScript木马转移到有效载荷的多进程传递过程;
3.新发现的Python脚本RAT称为PyVil RAT,它是使用py2exe编译的,该py2exe能够下载新模块以扩展功能;
据报道,Evilnum组织主要针对英国和其他欧盟国家的金融技术公司。该组织的主要目标是监控被感染的目标并窃取诸如密码、文档、浏览器cookie、电子邮件凭据等信息。
正如过去所报道的那样,除了该组织自己的专有工具外,还观察到Evilnum在某些情况下会部署Golden Chickens工具。 Golden Chickens是一种恶意软件即服务(MaaS)提供商,已被FIN6和Cobalt Group等组织使用。 Evilnum组使用的工具包括More_eggs,TerraPreter,TerraStealer和TerraTV。
Evilnum组织的攻击活动于2018年首次被发现,当时他们使用了臭名昭著的JavaScript Trojan的第一版。该脚本通过查询为此目的创建的特定页面,从GitHub,DigitalPoint和Reddit等站点提取C2地址。这种技术使攻击者能够轻松地更改已部署代理的C2地址,同时在向合法的已知站点发出请求时保持通信屏蔽。
从2018年首次被发现到现在,该组织在不同的攻击中被多次提及,每次都使用新功能升级其工具集,并向该组织的武器库中添加新工具。
Evilnum的初始感染媒介通常以鱼叉式网络钓鱼电子邮件开头,目标是提供包含LNK文件的ZIP压缩文件,这些LNK文件伪装成不同文件的照片,例如驾驶执照,信用卡和水电费。不过这些文件很可能被盗,属于真实个人。
一旦LNK文件被打开,它就会部署JavaScript木马,它会用一个真实的图像文件代替LNK文件,从而使整个操作对用户不可见。
到目前为止,如本文所述,已经观察到JavaScript木马的六种不同迭代版本,每一种都有一些小的变化,但不会改变核心功能。JavaScript代理具有上传和下载文件、窃取cookie、收集防病毒信息、执行命令等功能。
如上所述,除JavaScript组件外,还观察到该组织正在部署C#木马,该木马具有与以前的JavaScript组件类似的功能。
以前的感染链
新的感染链
过去,Evilnum的感染链始于鱼叉式网络钓鱼电子邮件,提供包含伪装成图像的LNK文件的zip压缩文件,这些LNK文件将删除具有上述后门功能的JavaScript木马。
近几周来,我们观察到了这种感染程序的变化:首先,没有将四个不同的LNK文件提供到zip压缩文件中,而该zip压缩文件又将由JPG文件替换,仅压缩文件了一个文件。该LNK文件伪装为PDF,其内容包括几个文档,例如水电费账单,信用卡照片和驾驶执照照片:
最低0.47元/天 解锁文章
扫一扫
143
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
