È stato scoperto che il gruppo di hacking di Evilnum utilizza strumenti di hacking avanzati di altri noti criminali collettivi come Cobalt, FIN6 e altri. Questo particolare gruppo di hacker ha lanciato campagne ad alto impatto in passato ed è attivo da almeno 2018 quando sono stati rilevati i loro primi attacchi principali.
Strumenti di hacking avanzati di Cobalt, FIN6 e altri sono ora utilizzati dagli hacker malvagi
Il Gli hacker malvagi è stato notato che sta conducendo un'altra grande campagna contro obiettivi da tutto il mondo. Tradizionalmente hanno organizzato attacchi contro organizzazioni e società finanziarie tra cui moderne startup fintech, nonché piattaforme di trading e investimento online. L'obiettivo principale dei criminali è quello di accedere a dati finanziari sensibili sui server. Il seguente tipo sembra essere al centro degli hacker:
- Documenti e fogli di calcolo che contengono operazioni di investimento e negoziazione
- Presentazioni che contengono operazioni interne dell'azienda
- Trading di credenziali software, conti e licenze
- Cookie di Google Chrome e informazioni sulla sessione
- Dati di accesso per account e-mail
- Dati della carta di pagamento degli utenti privati e prova dell'identità
Gli attacchi sono fatti da invio di messaggi e-mail di phishing che sono preparati in blocco e inviati agli utenti target. Seguono tattiche comuni come la rappresentazione di servizi e compagnie famosi: notifiche, newsletter e altri tipi di contenuti saranno preparati dagli hacker. In questi messaggi di posta elettronica File di scelta rapida LNK verranno allegati quelli che fingono di essere file di immagine - questo viene fatto usando il tecnica a doppia estensione nascosta — un file verrà mascherato come un solo tipo di file, ma invece essere di un altro. In questo caso quando gli utenti lo avviano a codice JavaScript verrà eseguito. Questa tecnica di consegna iniziale avvia un file di richiamo e quindi elimina l'LNK. Il file esca viene utilizzato per distribuire il malware previsto.
Nel caso del gruppo Evilnum vari malware precedentemente sviluppati e / o utilizzati da Cobalt, FIN6 e altri criminali vengono consegnati usando questo approccio.
Quanto sono noti gli strumenti di hacking utilizzati dalla banda Evilnum
Un'abitudine modulo di spionaggio chiamato Evilnum è presente nella campagna rilevata che viene utilizzata per spiare le vittime quando viene eseguita. multiplo Pitone script e strumenti basati su malware e vengono anche utilizzati durante i campioni rilevati. Uno dei malware degni di nota è l'uso di Malware Golden Chicken — un Malware-as-a-service (MAAS). Questo è un set di strumenti di hacking utilizzato da vari criminali che viene acquistato come un servizio di abbonamento.
Per rendere più difficile tenere traccia dell'attività del malware, i server di comando e controllo non hanno nomi di dominio, ma sono impostati nel virus come IP diretti. L'elenco viene estratto da fonti come GitHub, GitLab e Reddit — sono gestiti dagli hacker utilizzando account appositamente creati per questo scopo. Il elenco completo di malware distribuito mostra che i seguenti virus verranno utilizzati dagli hacker di Evilnum:
- TerraRecon — Uno strumento di hacking per la raccolta di informazioni programmato per cercare istanze hardware e software specifiche. Il malware si concentra sul targeting di fornitori e dispositivi di servizi di vendita al dettaglio e di pagamento.
- TerraStealer — Questo è un ladro di informazioni che è in alternativa noto come ZONA o StealerOne VenomLNK che si presume faccia parte del Kit VenomKit.
- TerraWiper — Questo è uno strumento pericoloso progettato per eliminare il file Master Boot Record (MBR). Al termine, le vittime non saranno in grado di avviare correttamente i loro computer.
- TerraCrypt — Questo è un ransomware pericoloso che è in alternativa noto come PureLocker che crittograferà i file utente di destinazione con un codice sicuro e quindi ricatterà ed estorcerà le vittime per un pagamento in criptovaluta. Questo ransomware è compatibile con tutti i moderni sistemi operativi desktop: Microsoft Windows, macOS e Linux.
- TerraTV — Questo malware lo farà dirottare le applicazioni TeamViewer.
- lite_more_eggs — Questa è una versione ridotta di un caricatore di malware.
È evidente che attacchi così complessi continueranno ad essere organizzati contro obiettivi di grande impatto.