隱寫術、小火龍與AgentVX：APT組織Evilnum新攻擊活動詳細分析

近期，伏影實驗室捕捉到多個以護照掃描文件作為誘餌的網絡釣魚活動。經過分析，我們確認該活動來自APT組織Evilnum，是其長期以來針對金融目標犯罪活動的延續。Evilnum攻擊者在本次釣魚活動中構建了新型攻擊流程，并通過NSIS包裝、簽名、隱寫術等操作實現免殺，最終投遞一種新型木馬程序AgentVX，展現了較高技術水平。

組織信息

Evilnum是一個在2018年被發現的APT組織，活躍于英國和歐盟國家，主要攻擊目標為金融科技公司。組織名稱Evilnum來自同名的木馬程序，亦被卡巴斯基稱為DeathStalker。

Evilnum的代表性攻擊手段是將惡意程序偽裝成客戶的身份證明文件，欺騙金融公司工作人員運行這些程序，進而通過植入間諜木馬獲得受害者主機上高價值信息。

組織歸因

本次網絡釣魚活動在攻擊目標、初始載荷形式、誘餌內容、隱寫術圖片、域名形式等方面與已知APT組織Evilnum的特征高度相似，因此可以判斷本次活動由Evilnum組織發起。

01 攻擊目標

分析表明，本次攻擊活動的目標為英國與歐盟國家（本例中為丹麥）的從事公民身份驗證事務的工作人員，這樣的事務主要集中于金融性質的企業中。

這一特征與Evilnum組織的活動高度重合。已披露的對Evilnum組織的分析報告(https://www.welivesecurity.com/2020/07/09/more-evil-deep-look-evilnum-toolset/)中，該組織的主要攻擊目標為“位于英國和其他歐盟國家的金融科技公司”，以竊取這些公司的內部文檔或密碼為目的。

02 初始載荷

本次攻擊活動的初始載荷是lnk格式的惡意文件。這同樣是Evilnum組織濫用的載荷類型。

本次發現的Evilnum投放的誘餌文件分別名為

“HANSENThomasPassport.pdf.lnk”和“MyProofofIdentity_HPSCAN_20200428104555829.pdf.lnk”，是一種帶有混淆cmd命令的惡意快捷方式文件。

Evilnum組織通常會將多個惡意的lnk文件打包為壓縮文件，并通過Google Drive等網盤服務進行傳播。這些惡意lnk文件都帶有雙重擴展名，試圖偽裝成png、jpg、pdf等文件格式。用戶打開壓縮包中任意的lnk文件都會導致木馬程序的執行。

03 誘餌圖片

本次攻擊活動中，攻擊者分別利用了一位英國公民和丹麥公民的護照內容作為誘餌。為了提高真實性，這些誘餌內容使用了真實的護照照片。這種誘餌利用方式與Evilnum的行動特征一致。

本次活動中的誘餌文件會顯示分別來自英國和丹麥的兩位公民的護照照片：

Evilnum組織會將從其他渠道獲取到的能夠證明公民身份的圖像作為誘餌，以迷惑受害者。已發現的被Evilnum使用的證件類型包括護照、駕照、銀行卡、身份卡、賬單等。

04 隱寫術

本次攻擊活動中，攻擊者使用了隱寫術，將加密后的木馬程序放入圖片文件當中。

隱寫圖片提取過程中使用的算法與邏輯見下圖：

已知的Evilnum活動中（https://securelist.com/what-did-deathstalker-hide-between-two-ferns/99616/），隱寫術也是該組織攻擊者的常用技術。Evilnum曾使用png圖片作為中間文件，傳遞混淆的PowerShell腳本。

05 域名形式

本次攻擊活動中，攻擊者使用的域名包括cdn.cjsassets[.]com和cdn.avbcloud[.]com，分別作為其下載服務器與CnC服務器。這種以cdn作為三級域名的思路也出現在Evilnum既往活動中(https://www.welivesecurity.com/2020/07/09/more-evil-deep-look-evilnum-toolset/)。