Aktor ancaman persisten tingkat lanjut (APT) yang dilacak sebagai Evilnum sekali lagi menunjukkan tanda-tanda aktivitas baru yang ditujukan untuk entitas keuangan dan investasi Eropa.
“Evilnum adalah pintu belakang yang dapat digunakan untuk pencurian data atau untuk memuat muatan tambahan,” kata perusahaan keamanan perusahaan Proofpoint dalam sebuah laporan yang dibagikan kepada The Hacker News. Malware ini mencakup beberapa komponen menarik untuk menghindari deteksi dan memodifikasi jalur infeksi berdasarkan perangkat lunak antivirus yang teridentifikasi.
Target termasuk organisasi dengan operasi yang mendukung valuta asing, cryptocurrency, dan keuangan terdesentralisasi (DeFi). Rentetan serangan terbaru dikatakan telah dimulai pada akhir 2021.
Temuan ini juga sesuai dengan laporan dari Zscaler bulan lalu yang merinci kampanye serangan bertarget volume rendah yang diluncurkan terhadap perusahaan di Eropa dan Inggris.
Aktif sejak 2018, Evilnum dilacak oleh komunitas keamanan siber yang lebih luas menggunakan nama TA4563 dan DeathStalker, dengan rantai infeksi yang berpuncak pada penyebaran pintu belakang eponymous yang mampu pengintaian, pencurian data, atau mengambil muatan tambahan.
Serangkaian aktivitas terbaru yang ditandai oleh Proofpoint menggabungkan taktik, teknik, dan prosedur (TTP) yang diperbarui, mengandalkan campuran file Microsoft Word, ISO, dan Windows Shortcut (LNK) yang dikirim sebagai lampiran email dalam email spear-phishing kepada para korban.
Varian lain dari kampanye yang terlihat pada awal 2022 telah memanfaatkan iming-iming finansial untuk menarik penerima agar membuka file .LNK dalam lampiran arsip ZIP berbahaya atau mengklik URL OneDrive yang berisi file ISO atau LNK.
Dalam contoh lain, aktor mengubah modus operandi untuk mengirimkan dokumen Microsoft Word sarat makro yang menghapus kode JavaScript yang dikaburkan yang dirancang untuk meluncurkan biner backdoor.
Metodologi ini sekali lagi diubah pada pertengahan 2022 untuk mendistribusikan dokumen Word, yang mencoba mengambil template jarak jauh dan menyambung ke domain yang dikendalikan penyerang. Terlepas dari vektor distribusi yang digunakan, serangan mengarah pada eksekusi pintu belakang Evilnum.
Meskipun tidak ada executable malware tahap berikutnya yang diidentifikasi, backdoor diketahui bertindak sebagai saluran untuk mengirimkan muatan dari penyedia malware-as-a-service (MaaS) Golden Chickens.
“Organisasi keuangan, terutama yang beroperasi di Eropa dan dengan kepentingan cryptocurrency, harus waspada terhadap aktivitas TA4563,” Sherrod DeGrippo, wakil presiden penelitian dan deteksi ancaman di Proofpoint, mengatakan dalam sebuah pernyataan. “Malware grup yang dikenal sebagai Evilnum sedang dalam pengembangan aktif.”