TA4563 組織利用 EvilNum 惡意軟件攻擊歐洲金融和投資實體

被追蹤為 TA4563 的威脅行為者正在使用 EvilNum 惡意軟件攻擊歐洲金融和投資實體。

據 Proofpoint 報道，追蹤為 TA4563 的威脅參與者利用 EvilNum 惡意軟件攻擊歐洲金融和投資實體。該集團專注于運營支持外匯、加密貨幣和去中心化金融 (DeFi) 的實體。

EvilNum 是一個后門，可以讓攻擊者竊取數據并加載額外的有效負載，它實現了多個組件來逃避檢測。

自 2021 年底以來，TA4563 小組的目標是歐洲的各種實體。

 Proofpoint 研究人員表示，他們的分析與Zscaler 在 2022 年 6 月  公開報道的EvilNum 活動有一些重疊 。

對 2021 年 12 月開始的活動的分析顯示，攻擊者使用了據稱與金融交易平臺注冊或相關文件有關的消息。攻擊者還使用武器化的 Microsoft Word 文檔來安裝 EvilNum 后門的更新版本。

“這些消息使用了一個遠程模板文檔，分析師觀察到該文檔試圖與域通信以安裝多個 LNK 加載器組件，利用 wscript 加載 EvilNum 有效負載，以及最終安裝在用戶主機上的 JavaScript 有效負載。” 閱讀Proofpoint 發布的分析。“這些誘餌包含一個財務主題，有一次暗示目標受害者需要提交‘丟失文件的所有權證明’。”

2022 年初，威脅行為者繼續以歐洲金融實體為目標，但使用了不同的技術。惡意垃圾郵件嘗試傳遞包含 ISO 或 .LNK 附件的多個 OneDrive URL。

在其他活動中，這些消息傳遞的是一個壓縮的 .LNK 文件。

2022 年年中，攻擊者再次改變其技術并開始交付 Microsoft Word 文檔以嘗試下載遠程模板以啟動 EvilNum 感染。

“EvilNum 惡意軟件和 TA4563 組對金融機構構成風險。根據 Proofpoint 分析，TA4563 的惡意軟件正在積極開發中。盡管 Proofpoint 沒有觀察到已確定的活動中部署的后續有效負載，但第三方報告表明 EvilNum 惡意軟件可能被用來分發其他惡意軟件，包括可通過 Golden Chickens 惡意軟件即服務獲得的工具。” 報告結束。“TA4563 已經調整了他們使用各種交付方法來破壞受害者的嘗試，而 Proofpoint 觀察到了這一活動并提供了檢測更新來阻止這一活動，應該注意的是，頑固的對手將繼續調整他們在妥協嘗試中的姿態。”

作者： 皮爾路易吉·帕格尼尼