EvilNum Hacking Grubu, uluslararası göçle ilgili Avrupa organizasyonlarını hedefleyen yenilenmiş kötü niyetli faaliyet belirtileri gösteriyor.
Evilnum, en az 2018'den beri aktif olan ve kampanya ve araçlarını 2020'de sadece son zamanlarda maruz bırakmış olan uygun bir (gelişmiş kalıcı tehdit).
O zaman, ESET, tehdit grubunun finansal teknoloji sektöründeki şirketlere yönelik taktiklerini açıklayan, özel "ev yapımı" kötü amaçlı yazılım kullanarak bir teknik rapor yayınladı.
En son maruziyet, 2022'nin başından beri Evilnum'un faaliyetini izleyen ve saldırılardan çeşitli eserleri yakalayan Zscaler'ın analistlerinin çalışmaları sayesinde.
Hedefleme ve zamanlama, Rusya'nın Ukrayna istilası ile çakıştı ve kilit göç organizasyonları makro yüklü belgeler içeren kötü amaçlı e-postalar aldı.
Kampanyada kullanılan belgeler, genellikle "uyumluluk" terimini içeren değişen dosya adları taşır. Zscaler, hepsi raporun IOC bölümünde belirtilen en az dokuz farklı belge belirledi.
Ek, tespitten kaçınmak için şablon enjeksiyonundan ve VBA kodu stomping tekniğinden yararlanarak yoğun bir şekilde gizlenmiş JavaScript'in yürütülmesine yol açar.
Bu da, bir kötü amaçlı yazılım yükleyicisini ("serenedacplapp.exe") ve şifreli bir ikili ("devzuqvd.tmp") şifresini çözer ve bırakır ve ayrıca kalıcılık için planlanmış bir görev ("updateModel görev") oluşturur.
Yükleyici, ön kontroller gerçekleştirir ve ikili olarak çıkarılan bir dosya adı altında yükler. İkili enjeksiyon, AV tespitinden kaçınmak için eski "Cennet Kapısı" tekniği kullanılarak yapılır.
Bu teknik, 32 bit işlemlerde 64 bit kodun çağrılmasını içerir ve Windows 10'da hafifletilmiş olsa da, EvilNum hala eski işletim sistemi sürümlerini çalıştıran makineleri hedeflemek için kullanır.
Aşağıdaki işlemleri gerçekleştirmek için tehlikeye atılan sisteme yüklenen arka kapı:
Tüm adımlar tamamlandıktan sonra, arka kapı bir C2 etki alanı ve yapılandırmadan bir yol dizesi seçer ve bir Beacon Network isteği gönderir. C2, yeni şifreli bir yük ile cevap verebilir.
Ek olarak, arka kapı makine anlık görüntülerini yakalar ve bunları Post istekleri aracılığıyla C2'ye gönderir ve çalınan verileri şifreli bir biçimde ekler.
Bu rapor, Evilnum'un hala aktif bir tehdit olduğunu vurgulamaktadır, bu nedenle savunuculara Zscaler tarafından ağlarını korumak için sağlanan IOC'leri kullanmaları tavsiye edilir.
Aktörün kökeni bilinmemekle birlikte, en son mağduru, daha önce Belarus tehdit grubu "Hayalet Yazarı" ile bağlantılı araştırmacılar olan casusluk kampanyalarına devlet düzeyinde bir ilgiyi gösteriyor.
Ukrayna'da Kobalt Strike Dağıtmak İçin Kullanılan Sahte Antivirüs Güncellemeleri
Google Drive şimdi sizi şüpheli kimlik avı, kötü amaçlı yazılım belgeleri konusunda uyarıyor
Yeni Toddycat Apt Gang tarafından hacklenen Microsoft Exchange Sunucuları
Çin Hacking Grubu Aoqin Dragon sessizce casusluk orgs on yıldır
QBOT kötü amaçlı yazılım artık kimlik avı saldırılarında Windows MSDT sıfır gününü kullanıyor
Kaynak: Bleeping Computer