С начала 2022 года ThreatLabz следит за деятельностью APT-группы Evilnum. ThreatLabz выявили несколько примеров их малообъемных кампаний целевых атак, запущенных против компаний в Великобритании и Европейском регионе.
Evilnum APT
В новых экземплярах кампаний используются обновленные тактики, техники и процедуры. В предыдущих кампаниях, наблюдавшихся в 2021 году, основным вектором распространения, используемым этой группой угроз, были файлы ярлыков Windows (LNK), отправленные внутри вредоносных архивных файлов (ZIP) в качестве вложений в электронные письма, отправленные жертвам с помощью фишинга.
В последних случаях угрозы стали использовать документы MS Office Word, используя инъекцию шаблона документа для доставки вредоносной полезной нагрузки на машины жертв. В этом блоге мы представляем технические подробности всех компонентов, участвующих в сквозной цепочке атак. На момент написания статьи, насколько нам известно, полная цепочка атак новой APT-группы Evilnum нигде публично не задокументирована.
ThreatLabz выявила несколько доменов, связанных с APT-группой Evilnum, которые ранее не были обнаружены поставщиками средств безопасности. Это открытие указывает на то, что APT-группа Evilnum успешно скрывается от посторонних глаз и остается необнаруженной в течение длительного времени.
- Основные цели группы Evilnum APT преимущественно находились в секторе FinTech (финансовые услуги), в частности, компании, занимающиеся торговлей и соблюдением нормативных требований в Великобритании и Европе.
- В марте 2022 года ThreatLabz наблюдали значительное обновление в выборе целей APT-группы Evilnum. Их целью стала межправительственная организация, занимающаяся международными миграционными услугами.
- Макро-документы, использованные на этапе внедрения шаблонов, использовали технику VBA code stomping для обхода статического анализа, а также для предотвращения обратного инжиниринга.
- Для расшифровки и сброса полезной нагрузки на конечную точку использовался сильно обфусцированный JavaScript. JavaScript конфигурировал запланированную задачу для запуска сброшенного двоичного файла. Этот JavaScript имеет значительные улучшения в технике обфускации по сравнению с предыдущими версиями, используемыми APT-группой EvilNum.
- Имена всех артефактов файловой системы, созданных в ходе выполнения, были тщательно подобраны для подмены имен легитимных двоичных файлов Windows и других легитимных двоичных файлов сторонних производителей.
- В каждом новом экземпляре кампании группа APT регистрировала несколько доменных имен, используя специфические ключевые слова, относящиеся к целевой отраслевой вертикали.
Indicators of compromise
Domains
- advertbart.com
- appdllsvc.com
- azuredcloud.com
- bgamifieder.com
- bingapianalytics.com
- book-advp.com
- bookaustriavisit.com
- bookingitnow.org
- bunflun.com
- covdd.org
- deltacldll.com
- estoniaforall.com
- inetp-service.com
- infcloudnet.com
- khnga.com
- mailservice-ns.com
- meetomoves.com
- moreofestonia.com
- moretraveladv.com
- mscloudin.com
- msdllopt.com
- netrcmapi.com
- netwebsoc.com
- nortonalytics.com
- pcamanalytics.com
- refinance-ltd.com
- roblexmeet.com
- traveladvnow.com
- travelbooknow.org
- travinfor.com
- tripadvit.com
- udporm.com
- visitaustriaislands.com
- webinfors.com
- windnetap.com
- yomangaw.com
MD5
- 0b4f0ead0482582f7a98362dbf18c219
- 4406d7271b00328218723b0a89fb953b
- 61776b209b01d62565e148585fda1954
- 6d329140fb53a3078666e17c249ce112
- db0866289dfded1174941880af94296f
- f0d3cff26b419aff4acfede637f6d3a2
- 79157a3117b8d64571f60fe62c19bf17
- 63090a9d67ce9534126cfa70716d735f
- f5f9ba063e3fee25e0a298c0e108e2d4
- ea71fcc615025214b2893610cfab19e9
- 51425c9bbb9ff872db45b2c1c3ca0854