Evilnum macht wieder von sich reden

Sicherheitsexperten zufolge ist die APT-Gruppe Evilnum seit 2018 aktiv. Die ersten Analysen zu den Aktivitäten der Gruppe wurden im Jahr 2020 veröffentlicht. Die Hackergang wird überwiegend mit Angriffen auf den Fintech-Sektor in Europa in Verbindung gebracht und in der Regel als finanziell motiviert eingestuft. Forscher des Security-Anbieters Zscaler haben nun nach eigenen Angaben mehrere Domains identifiziert, die mit der Evilnum-Gruppe in Verbindung stehen und bislang unbekannt waren.

Bei früheren Kampagnen nutzten die Angreifer alte Windows-Verknüpfungsdateien (LNK), um ihre Malware über Spear-Phishing-Mails zu verbreiten. Die Zscaler-Forscher entdeckten, dass die Bande für ihre jüngste Kampagne gefälschte Word-Dokumente verwendet, um die Computer der Opfer zu infizieren. Zudem fanden sie heraus, dass sich die Angriffsziele im März 2022 verändert haben. Nach den Angaben der Analysten zielen die Angriffe seitdem auch auf zwischenstaatliche Organisationen, die sich mit internationalen Migrationsdiensten befassen.

Wie die Experten betonen, stehen der Zeitpunkt und die Art der gewählten Ziele im Zusammenhang mit der russischen Invasion in der Ukraine im Februar 2022. Bisher sind die Ursprünge der Evilnum-APT-Gruppe noch unklar. Allerdings vermuten Sicherheitsexperten, dass die Hacker an staatlich motivierten Spionageoperationen beteiligt sein und mit derm belarussischen Hackergruppe namens Ghostwriter in Verbindung stehen könnten.

Funktionsweise der jüngsten Evilnum-Angriffe

Charakteristisch für Evilnum ist folgende Vorgehensweise bei Angriffen:Im ersten Schritt wird ein Schadcode-behaftetes Dokument über Spear-Phishing-Mails verbreitet. Wenn das Opfer dieses Dokument herunterlädt und öffnet, wird ein Makro-Template von der Domäne der Angreifer nachgeladen. Der User erhält daraufhin die Aufforderung, das Makro zu aktivieren. Geschieht das, verwendet dDer Makro-Code verwendet die VBA-Code-Stomping-Technik, um den Original-Source-Code zu zerstören und durch die kompilierte Version des VBA-Makro-Codes in dem Dokument zu ersetzen.

Um die Payload auf dem Endpunkt abzulegen, verwenden die Angreifer ein verschleiertes Javascript. "Dieses JavaScript weist im Vergleich zu den früheren Versionen der Evilnum APT-Gruppe erhebliche Verbesserungen in der Verschleierungstechnik auf", so die Forscher. Die Namen aller Dateisystem-Artefakte, die im Laufe der Ausführung erstellt wurden, seien sorgfältig ausgewählt worden, um die Namen legitimer Windows- und anderer legitimer Binärdateien von Drittanbietern nachzuahmen. "In jedem neuen Fall der Kampagne registrierte die APT-Gruppe mehrere Domänennamen mit spezifischen Schlüsselwörtern, die sich auf die anvisierte Branche beziehen."

Auffällig bleibe der Zeitpunkt der Wiederaufnahme der Aktivitäten der APT-Gruppe und die veränderten Techniken, Taktiken und Prozesse (TTP). Für Unternehmen sei es entscheidend, Spear-Phishing-E-Mails zu erkennen und in Quarantäne zu schieben, bevor der Schadcode ausgeführt werden kann, fassen die Experten zusammen.

Marc Lueck, CISO EMEA bei Zscaler empfiehlt: "Security-Analysten sollten sich die Anatomie eines Angriffs ansehen, um die Rolle zu verstehen, die Phishing - in diesem Fall Spear Phishing - spielt. Wenn sich Unternehmen vor Ransomware-Angriffen schützen wollen, müssen sie bereits für das frühe Stadium der Angriffskette mit einer Abwehrstrategie aufwarten."

Lesetipp:Neue Kaspersky-Analyse - APT-Bande ToddyCat greift Regierungs- und Militärziele in Europa an