Evilnum APT IOCs

security IOC

С начала 2022 года ThreatLabz следит за деятельностью APT-группы Evilnum. ThreatLabz выявили несколько примеров их малообъемных кампаний целевых атак, запущенных против компаний в Великобритании и Европейском регионе.

Evilnum APT

В новых экземплярах кампаний используются обновленные тактики, техники и процедуры. В предыдущих кампаниях, наблюдавшихся в 2021 году, основным вектором распространения, используемым этой группой угроз, были файлы ярлыков Windows (LNK), отправленные внутри вредоносных архивных файлов (ZIP) в качестве вложений в электронные письма, отправленные жертвам с помощью фишинга.

В последних случаях угрозы стали использовать документы MS Office Word, используя инъекцию шаблона документа для доставки вредоносной полезной нагрузки на машины жертв. В этом блоге мы представляем технические подробности всех компонентов, участвующих в сквозной цепочке атак. На момент написания статьи, насколько нам известно, полная цепочка атак новой APT-группы Evilnum нигде публично не задокументирована.

ThreatLabz выявила несколько доменов, связанных с APT-группой Evilnum, которые ранее не были обнаружены поставщиками средств безопасности. Это открытие указывает на то, что APT-группа Evilnum успешно скрывается от посторонних глаз и остается необнаруженной в течение длительного времени.

  • Основные цели группы Evilnum APT преимущественно находились в секторе FinTech (финансовые услуги), в частности, компании, занимающиеся торговлей и соблюдением нормативных требований в Великобритании и Европе.
  • В марте 2022 года ThreatLabz наблюдали значительное обновление в выборе целей APT-группы Evilnum. Их целью стала межправительственная организация, занимающаяся международными миграционными услугами.
  • Макро-документы, использованные на этапе внедрения шаблонов, использовали технику VBA code stomping для обхода статического анализа, а также для предотвращения обратного инжиниринга.
  • Для расшифровки и сброса полезной нагрузки на конечную точку использовался сильно обфусцированный JavaScript. JavaScript конфигурировал запланированную задачу для запуска сброшенного двоичного файла. Этот JavaScript имеет значительные улучшения в технике обфускации по сравнению с предыдущими версиями, используемыми APT-группой EvilNum.
  • Имена всех артефактов файловой системы, созданных в ходе выполнения, были тщательно подобраны для подмены имен легитимных двоичных файлов Windows и других легитимных двоичных файлов сторонних производителей.
  • В каждом новом экземпляре кампании группа APT регистрировала несколько доменных имен, используя специфические ключевые слова, относящиеся к целевой отраслевой вертикали.

Indicators of compromise

Domains

  • advertbart.com
  • appdllsvc.com
  • azuredcloud.com
  • bgamifieder.com
  • bingapianalytics.com
  • book-advp.com
  • bookaustriavisit.com
  • bookingitnow.org
  • bunflun.com
  • covdd.org
  • deltacldll.com
  • estoniaforall.com
  • inetp-service.com
  • infcloudnet.com
  • khnga.com
  • mailservice-ns.com
  • meetomoves.com
  • moreofestonia.com
  • moretraveladv.com
  • mscloudin.com
  • msdllopt.com
  • netrcmapi.com
  • netwebsoc.com
  • nortonalytics.com
  • pcamanalytics.com
  • refinance-ltd.com
  • roblexmeet.com
  • traveladvnow.com
  • travelbooknow.org
  • travinfor.com
  • tripadvit.com
  • udporm.com
  • visitaustriaislands.com
  • webinfors.com
  • windnetap.com
  • yomangaw.com

MD5

  • 0b4f0ead0482582f7a98362dbf18c219
  • 4406d7271b00328218723b0a89fb953b
  • 61776b209b01d62565e148585fda1954
  • 6d329140fb53a3078666e17c249ce112
  • db0866289dfded1174941880af94296f
  • f0d3cff26b419aff4acfede637f6d3a2
  • 79157a3117b8d64571f60fe62c19bf17
  • 63090a9d67ce9534126cfa70716d735f
  • f5f9ba063e3fee25e0a298c0e108e2d4
  • ea71fcc615025214b2893610cfab19e9
  • 51425c9bbb9ff872db45b2c1c3ca0854
SEC-1275-1
Добавить комментарий