APT-группа Evilnum, известная своими многочисленными атаками на финансово-технологические организации с помощью поддельных документов «Know your Client» (KYC), недавно внесла значительные изменения в тактику и инструменты, согласно расследованию компании Cybereason.
Впервые обнаруженная еще в 2018 г., группировка Evilnum несколько раз улучшала свои возможности по проведению кибератак. Ее основная цель – шпионаж в отношении скомпрометированных организаций и кража конфиденциальных данных: пароли, документы, файлы cookie браузера и учетные данные электронной почты.
Цепочка заражения Evilnum традиционно начинается с целевых фишинговых писем, которые доставляют ZIP-архивы, содержащие файлы LNK, замаскированные под изображения, которые затем сбрасывают трояна JavaScript с различными возможностями бэкдора.
Том Фактерман, ИБ-эксперт компании Cybereason, отметил: «Процедуры заражения у группировки Evilnum существенно изменились за последние недели. Вместо доставки четырех разных файлов LNK в ZIP-архиве, которые заменяются файлами JPG, архивируется только один LNK, который маскируется под PDF-файл, содержащий несколько документов, вроде счетов за коммунальные услуги и фотографии кредитных карт».
Кроме того, компания Cybereason сообщила, что группировка Evilnum недавно расширила свою инфраструктуру, добавив список доменов, связанных с IP-адресом C2, который меняется каждые несколько недель.
Несмотря на эти изменения, Том Фактерман заметил, что «основной метод получения первоначального доступа к их целям в виде финансово-технологических компаний остался прежним: использование поддельных документов KYC, чтобы обмануть сотрудников финансовых организаций и запустить вредоносное ПО».
В результатах проведенного исследования компания Cybereason указала следующее: «Группировка Evilnum приложила немало усилий, чтобы успешно уклоняться от инструментов безопасности, ориентированных на предотвращение инцидентов кибербезопасности – это подчеркивает необходимость для организаций инвестировать в эффективные возможности обнаружения и реагирования, которые позволяют осуществлять глубокий поиск киберугроз в сети для выявления спроектированных угроз, обходящих начальные уровни безопасности».