Οι ερευνητές της ESET δημοσιεύσαν μια εις βάθος ανάλυση της δραστηριότητας της ομάδας κυβερνοεγκληματιών Evilnum, της ομάδας APT (advanced persistent threat) που βρίσκεται πίσω από το malware Evilnum. Σύμφωνα με τα δεδομένα τηλεμετρίας της ESET, η ομάδα Evilnum έχει εστιάσει τις επιθέσεις της σε εταιρείες χρηματοοικονομικής τεχνολογίας. Οι περισσότεροι στόχοι βρίσκονται στην Ευρωπαϊκή Ένωση και το Ηνωμένο Βασίλειο, εντούτοις, η ESET έχει εντοπίσει και άλλες επιθέσεις σε Αυστραλία και Καναδά. Η Ομάδα Evilnum παρακολουθεί στενά τους υποψήφιους στόχους της ώστε να συγκεντρώσει χρηματοοικονομικές πληροφορίες που αφορούν την εταιρεία αλλά και τους πελάτες της.
«Ενώ το malware Evilnum έχει εντοπιστεί “in the wild” τουλάχιστον από το 2018, οι πληροφορίες που έχουν δημοσιευτεί για την ομάδα που βρίσκεται πίσω από το malware και το πώς αυτή λειτουργεί είναι ελάχιστες» δήλωσε Matias Porolli, ο ερευνητής της ESET που ηγείται της έρευνας για την ομάδα Evilnum. «Το σύνολο των εργαλείων και η υποδομή που χρησιμοποιεί έχουν εξελιχθεί και αποτελούνται πλέον από ένα συνδυασμό αυτοσχέδιου κακόβουλου λογισμικού και εργαλείων που αγοράστηκαν από την Golden Chickens, τον πάροχο Malware-as-a-Service (MaaS) στους κακόβουλους πελάτες του οποίου συγκαταλέγονται οι ομάδες FIN6 και Cobalt Group» συμπληρώνει.
Το Evilnum κλέβει ευαίσθητες πληροφορίες, στοιχεία πιστωτικών καρτών και διευθύνσεων και στοιχεία ταυτότητας, υπολογιστικά φύλλα και έγγραφα με λίστες πελατών, έγραφα επενδύσεων και συναλλαγών, άδειες λογισμικού και διαπιστευτήρια για λογισμικό συναλλαγών και πλατφόρμες, στοιχεία email, και άλλα δεδομένα. Η ομάδα έχει αποκτήσει πρόσβαση και σε πληροφορίες που σχετίζονται με την υποδομή IT, όπως διαμορφώσεις VPN.
«Η ομάδα προσεγγίζει τους στόχους της με phishing email που περιέχουν σύνδεσμο για ένα αρχείο .zip το οποίο φιλοξενείται στο Google Drive. Το αρχείο αυτό περιέχει πολλά αρχεία shortcut τα οποία εξάγουν και εκτελούν ένα κακόβουλο στοιχείο ενώ εμφανίζουν ένα έγγραφο-δόλωμα» εξηγεί ο Porolli. Αυτά τα έγραφα μοιάζουν να είναι αυθεντικά, και συλλέγονται διαρκώς κατά τη διάρκεια των κακόβουλων επιχειρήσεων της ομάδας καθώς χάρη σε αυτά θα προσπαθήσουν να προσεγγίσουν νέα θύματα. Η ομάδα Evilnum στοχοποιεί αντιπροσώπους τεχνικής υποστήριξης και διαχειριστές λογαριασμών, οι οποίοι λαμβάνουν τακτικά έγραφα με στοιχεία ταυτοποίησης και πιστωτικών καρτών από τους πελάτες τους.
Όπως συμβαίνει με πολλά κακόβουλα λογισμικά, οι εντολές μπορούν να αποσταλούν στο malware Evilnum. Μεταξύ άλλων υπάρχουν εντολές για τη συλλογή και αποστολή των κωδικών πρόσβασης (passwords) που είναι αποθηκευμένα στο Google Chrome, συλλογή και αποστολή Google Chrome cookies, λήψη screenshots, διακοπή του malware και αφαίρεση.
“Το Evilnum βασίζει τη λειτουργία του σε σημαντικές υποδομές, που περιλαμβάνουν αρκετούς διαφορετικούς servers για διαφορετικές μορφές επικοινωνίας ” καταλήγει ο Porolli.
Για περισσότερες τεχνικές λεπτομέρειες σχετικά με το malware Evilnum και την ομάδα APT, επισκεφθείτε το σχετικό “blogpost ” στο WeLiveSecurity. Παρακολουθείστε τις τελευταίες εξελίξεις στον τομέα της κυβερνοασφάλειας ακολουθώντας το λογαριασμό της ομάδας ερευνητών της ESET στο Twitter.
Εδώ και 30 χρόνια, η αναπτύσσει λογισμικό και υπηρεσίες κορυφαίου επιπέδου για την ασφάλεια επιχειρήσεων και καταναλωτών σε όλο τον κόσμο. Οι λύσεις της ESET, που καλύπτουν ένα ευρύ φάσμα, από την προστασία endpoint και mobile, έως την κρυπτογράφηση και την πιστοποίηση διπλού παράγοντα, διακρίνονται για τις υψηλές επιδόσεις και την ευκολία στη χρήση, προσφέροντας σε καταναλωτές και επιχειρήσεις την ευκαιρία να απολαμβάνουν με ξεγνοιασιά όλες τις δυνατότητες της τεχνολογίας τους. Η ESET προστατεύει και παρακολουθεί όλο το 24ωρο αθόρυβα, προσαρμόζοντας και ανανεώνοντας τις άμυνες της σε πραγματικό χρόνο, ώστε οι χρήστες να είναι ασφαλείς και οι επιχειρήσεις να λειτουργούν αδιάκοπα. Οι απειλές μεταβάλλονται διαρκώς και απαιτούν μια εταιρεία IT ασφάλειας που μπορεί να εξελίσσεται. Διαθέτει παγκοσμίως κέντρα R&D που την υποστηρίζουν, και αποτελεί την πρώτη εταιρεία ασφάλειας IT που έχει φτάσει τον αριθμό των 100 βραβείων Virus Bulletin VB100, χωρίς να έχει χάσει ούτε ένα «in-the-wild» ιό από το 2003. Η ESET διαθέτει τοπικά γραφεία σε Αθήνα και Λευκωσία, καθώς κι ένα εκτεταμένο δίκτυο συνεργατών σε Ελλάδα και Κύπρο. Για περισσότερες πληροφορίες επισκεφθείτε το.
| |