De hackgroep van Evilnum blijkt geavanceerde hacktools te gebruiken van andere bekende criminele collectieven zoals Cobalt, FIN6 en anderen. Deze specifieke hackgroep heeft in het verleden campagnes met een grote impact uitgevoerd en is sindsdien actief 2018 toen hun eerste grote aanvallen werden gedetecteerd.
Geavanceerde hacktools van Cobalt, FIN6 en anderen worden nu gebruikt door de Evilnum-hackers
Het Evilnum-hackers is gespot om weer een grote campagne te voeren tegen doelen van over de hele wereld. Van oudsher hebben ze aanvallen georganiseerd financiële organisaties en bedrijven inclusief moderne fintech startups, evenals online handels- en investeringsplatforms. Het belangrijkste doel van de criminelen is toegang tot gevoelige financiële gegevens op de servers. Het volgende type lijkt de focus van de hackers te zijn:
- Documenten en spreadsheets die investeringen en handelsactiviteiten bevatten
- Presentaties die interne bedrijfsactiviteiten bevatten
- Inloggegevens voor handelssoftware, accounts en licenties
- Google Chrome-cookies en sessie-informatie
- Inloggegevens voor e-mailaccounts
- Betaalgegevens van particuliere gebruikers en identiteitsbewijs
De aanvallen zijn gemaakt door phishing-e-mailberichten verzenden die in bulk worden voorbereid en naar de doelgebruikers worden verzonden. Veelvoorkomende tactieken worden gevolgd, zoals de nabootsing van beroemde diensten en bedrijven: meldingen, nieuwsbrieven en andere soorten inhoud worden opgesteld door de hackers. In deze e-mailberichten LNK-snelkoppelingsbestanden zal worden bijgevoegd die zich voordoen als afbeeldingsbestanden - dit wordt gedaan met behulp van de verborgen dubbele extensie techniek — een bestand wordt gemaskeerd als één bestandstype, maar in plaats van een ander te zijn. In dit geval wanneer de gebruikers het starten a JavaScript-code zal worden uitgevoerd. Deze initiële leveringstechniek start een lokbestand en verwijdert vervolgens de LNK. Het lokvogelbestand wordt gebruikt om de beoogde malware te implementeren.
In het geval van de Evilnum-groep verschillende malware die eerder is ontwikkeld en / of gebruikt door Cobalt, FIN6 en andere criminelen worden op deze manier afgeleverd.
Hoe bekende hacktools worden gebruikt door de Evilnum Gang
Een gewoonte spionage module genaamd Evilnum wordt weergegeven in de gedetecteerde campagne die wordt gebruikt om de slachtoffers te bespioneren wanneer deze wordt uitgevoerd. Meerdere Python gebaseerde scripts en tools en malware worden ook gebruikt tijdens de gedetecteerde samples. Een van de opmerkelijke malware is het gebruik van de Golden Chicken malware — een Malware-as-a-service (MAAS). Dit is een hacktoolset die wordt gebruikt door verschillende criminelen en die wordt gekocht als een abonnementsservice.
Om het moeilijker te maken om de malware-activiteit te volgen, hebben de commando- en controleservers geen domeinnamen, maar zijn in het virus ingesteld als directe IP's. De lijst is afkomstig uit bronnen zoals GitHub, GitLab en Reddit — ze worden onderhouden door de hackers die hiervoor speciaal aangemaakte accounts gebruiken. Het volledige lijst met malware dat wordt ingezet, toont aan dat de volgende virussen door de Evilnum-hackers zullen worden gebruikt:
- TerraRecon — Een hacking-tool voor het verzamelen van informatie die is geprogrammeerd om naar specifieke hardware- en software-instanties te zoeken. De malware is gericht op detailhandel- en betalingsdienstaanbieders en apparaten.
- TerraStealer — Dit is een informatiestaler die ook bekend staat als ZONE of StealerOne VenomLNK waarvan wordt aangenomen dat het deel uitmaakt van de VenomKit-kit.
- TerraWiper — Dit is een gevaarlijke tool die is ontworpen om de Master Boot Record (MBR). Wanneer dit is gebeurd, zullen de slachtoffers hun computers niet goed kunnen opstarten.
- TerraCrypt — Dit is een gevaarlijke ransomware die ook wel bekend staat als PureLocker die doelgebruikersbestanden versleutelt met een sterk cijfer en vervolgens de slachtoffers chanteert en afperst voor een betaling met cryptocurrency. Deze ransomware is compatibel met alle moderne desktopbesturingssystemen: Microsoft Windows, macOS en Linux.
- TerraTV — Deze malware zal TeamViewer-applicaties kapen.
- lite_more_eggs — Dit is een verkleinde versie van een malware-loader.
Het is duidelijk dat dergelijke complexe aanvallen zullen worden georganiseerd tegen doelen met hoge impact.