ESET ist den Hackern von Evilnum auf die Spur gekommen. Die Cyberkriminellen sind seit 2018 aktiv und greifen mit Advanced Persistent Threats (APT) vor allem Finanztechnologiefirmen an.  Abgesehen von der Vorliebe der Gruppe für Fintech-Ziele ist jedoch nur wenig über die Werkzeuge, Techniken oder potenziellen Verbindungen der Gruppe zu anderen Cyberattackern erforscht worden. Nach Angaben des ESET Forscher-Teams hat sich Evilnum auf Ziele in Europa und Großbritannien konzentriert, obwohl sich einige Opfer auch in Australien und Kanada befinden.

Wie bei vielen Cyberangreifern, die sich auf finanzielle Ziele spezialisiert haben, besteht das Ziel darin, Unternehmensnetzwerke zu infiltrieren, sich Zugangsdaten zu beschaffen und wertvolle Finanzinformationen zu stehlen, die dann entweder für betrügerische Käufe verwendet oder in großen Mengen an andere Kriminelle weiterverkauft werden können.

Der Angriffsvektor von Evilnum folgt dem Muster, sich dem Ziel mit Spearphishing-E-Mails zu nähern. Während Standard-Phishing-E-Mails oft in „Spray and Pray“-Taktiken verwendet werden, nutzen diese Nachrichten Social Engineering und enthalten Informationen, die den Vertretern des technischen Supports und den Kundenbetreuern die E-Mails als echt erscheinen lassen.

Die E-Mails enthalten einen Link zu einer .zip-Datei, die auf Google Drive gehostet wird. Nach dem Extrahieren führen bösartige .LNK-Dateien zu Köderdokumenten, bei denen es sich scheinbar um Dateien handelt, die sich auf KYC-Daten (Know Your Customer) beziehen, z. B. Kopien von Führerscheinen oder Rechnungen mit Adressnachweis.

Diese Dokumente führen dann jedoch eine Reihe von bösartigen Angriffen aus, um Unternehmensnetzwerke zu kompromittieren.  Das Toolset von Evilnum hat sich in den letzten Jahren weiterentwickelt und umfasst nun auch benutzerdefinierte Malware – einschließlich der Evilnum-Malware-Familie – sowie Hacker-Tools, die von Golden Chickens erworben wurden, einer Gruppe, die laut ESET ein Malware-as-a-Service (MaaS)-Anbieter ist, der auch FIN6 und Cobalt Group zu seinen Kunden zählt.

Zu diesen Tools gehören ActiveX-Komponenten (OCX-Dateien), die TerraLoader enthalten, einen Dropper für andere Malware, die den Golden Chickens-Kunden zur Verfügung gestellt wird, wie z.B. die Hintertür More_eggs, eine Suite zur Entführung von DLL-Suchaufträgen und ein ausgeklügeltes Programm für den Fernzugriff.

„Wir glauben, dass FIN6, Cobalt Group und Evilnum Group nicht dasselbe sind, trotz der Überschneidungen in ihren Toolsets. Sie teilen sich nur zufällig denselben Malware as a Service (MaaS)-Provider“, bemerkte ESET.

Wenn ein Opfer ein Köderdokument öffnet, wird die Malware Evilnum, Python-basierte Tools oder Komponenten von Golden Chicken gestartet. Jedes Tool verfügt über eine Verbindung zu einem separaten Command-and-Control (C2)-Server und arbeitet unabhängig voneinander, sei es für Informationsdiebstahl, Persistenz, den Einsatz zusätzlicher Malware oder andere bösartige Funktionen.

Die Hauptnutzlast von Evilnum konzentriert sich auf den Diebstahl, einschließlich aller im Google Chrome-Browser gespeicherten Kontoanmeldeinformationen sowie Cookies, und wird infizierte Systeme nach Kreditkarteninformationen, Ausweisdokumenten, Kundenlisten, Investitions- und Handelsdokumenten, Softwarelizenzen und VPN-Konfigurationen durchsuchen.

Die Forscher haben die Gruppe mit einer Vielzahl von Fintech-basierten Angriffen in Verbindung gebracht, glauben aber nicht, dass dies ausreicht, um sie derzeit mit irgendeinem anderen APT in Verbindung zu bringen.

„Die Ziele sind sehr spezifisch und nicht zahlreich“, erklärt ESET. „Dies und der Einsatz legitimer Instrumente in der Angriffskette der Gruppe haben ihre Aktivitäten weitgehend im Verborgenen gehalten. Wir konnten uns den Punkten anschließen und herausfinden, wie die Gruppe arbeitet, wobei wir einige Überschneidungen mit anderen bekannten APT-Gruppen aufgedeckt haben. Wir glauben, dass diese und andere Gruppen denselben MaaS-Anbieter nutzen, und die Evilnum-Gruppe kann noch nicht mit früheren Angriffen einer anderen APT-Gruppe in Verbindung gebracht werden.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Jakob Jung

Recent Posts

Ungepatchte Lücke in der Windows-Druckwarteschlange verschafft Malware Admin-Rechte

Forscher umgehen einen von Microsoft im Mai bereitgestellten Patch. Die neue Lücke soll das Einschleusen…

2 Tagen ago

Bericht: Microsoft strebt Übernahme des weltweiten Geschäfts von TikTok an

Dazu gehören auch die Märkte in Europa und Indien. US-Präsident Trump verstärkt indes den Druck…

2 Tagen ago

Durchgesickerte interne Dokumente: Intel prüft Einbruch in seine Systeme

Ein Hacker stiehlt angeblich 20 GByte Daten von Intel. Es handelt sich zum Teil um…

2 Tagen ago

Cisco warnt vor Sicherheitslücken in Routern, Switches und AnyConnect VPN

Sie erlauben Denial-of-Service-Angriffe und den Diebstahl vertraulicher Informationen. Der AnyConnect-Client für Windows gibt Hackern Zugriff…

3 Tagen ago

295 Chrome-Erweiterungen kapern Suchanzeigen von Google und Bing

AdGuard entdeckt sie bei der Suche nach gefälschten Adblockern. Die Erweiterungen bringen es zusammen auf…

3 Tagen ago

Samsung verlängert Android-Upgrades auf drei Jahre

Die Änderung gilt auch für ältere Smartphones wie das Galaxy S10. Es erfährt 2021 nun…

3 Tagen ago