Anzeige

Cybercrime

Während der letzten Monate hat das Nocturnus-Team von Cybereason die Aktivitäten der Evilnum-Gruppe untersucht. Die Gruppe trat im Jahr 2018 zum ersten Mal in Erscheinung, und seitdem gehen vielfältige Aktivitäten auf Evilnum zurück – laut neuesten Berichten wurden dabei verschiedene in Javascript und C# geschriebene Komponenten verwendet sowie Tools, die vom Malware-as-a-Service-Anbieter Golden Chickens stammen. 

Die Aktivitäten der Gruppe scheinen – im Gegensatz zu einem großflächigen Phishing-Angriff – ausgesprochen zielgerichtet zu sein, mit Schwerpunkt auf dem FinTech-Markt. Dabei macht sich EvilNum einen nicht nur in der Finanzbranche üblichen Prozess zunutze, der unter der Bezeichnung "Know your Customer" bekannt ist. Das Know Your Customer-Prinzip (KYC) dient der Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstiger Wirtschaftskriminalität. Insbesondere im Finanzsektor, aber auch in anderen Branchen, ist eine Prüfung nach dem KYC-Prinzip zur präzisen Identifikation von Kunden und Geschäftspartnern rechtlich vorgeschrieben.

EvilNum verlässt sich beim Einstiegsvektor auf das bewährte Mittel einer Spear-Phishing-Attacke. Sie nimmt einzelne Mitarbeiter oder ganze Finanz-Teams ins Visier und versucht diese mittels gefälschter, angeblich besonders wichtiger Finanzdokumente, die von Kunden bei Geschäftsabschlüssen zur Verfügung gestellt werden, zum Öffnen derselben zu bewegen. Seit ihrem erstmaligen Erscheinen hat die Gruppe hauptsächlich Unternehmen innerhalb der EU angegriffen.

In den letzten Wochen beobachtete das Nocturnus-Team erneute Aktivitäten der Gruppe, auf Basis mehrerer nennenswerter Änderungen gegenüber den zuvor beobachteten Taktiken und Techniken. Zu diesen Variationen zählen Veränderungen innerhalb der Infektions- und Persistenzkette, eine neue Infrastruktur, die sich im Laufe der Zeit ausweitet, und die Verwendung eines als Python-Skript geschriebenen Remote Access Trojaners (RAT), den das Nocturnus-Team auf den Namen „PyVil RAT“ getauft hat. 

PyVil RAT verfügt über Reihe unterschiedlicher Funktionen und ermöglicht es den Angreifern, Daten zu exfiltrieren, Keylogging, das Erstellen von Screenshots, aber auch zusätzliche Tools wie LaZagne einzusetzen, um beispielsweise Zugangsdaten zu stehlen.

Im Rahmen der aktuellen Untersuchung befasst sich das Nocturnus-Team mit den jüngsten Aktivitäten der Evilnum-Gruppe sowie der neuartigen Infektionskette und den verwendeten Tools.

Die wichtigsten Ergebnisse in Kürze: 

  • Evilnum: Das Nocturnus-Team von Cybereason beobachtet mithilfe verschiedener Tools die Aktivitäten der Evilnum-Gruppe, die seit zwei Jahren aktiv ist.
  • Angriffe auf den Finanzsektor: Es ist bekannt, dass die Gruppe FinTech-Unternehmen im Visier hat und das Know Your Customer (KYC)-Verfahren missbraucht, um die Infektionskette zu starten. Banken, Kreditinstitute und Versicherungsagenturen, die eng mit Fintechs zusammenarbeiten, sind ebenfalls gefährdet, sich durch die gefälschten Dokumente und Dateien täuschen zu lassen. 
  • Neue Variationen: In der aktuellen Untersuchung beschäftigt sich das Nocturnus-Team insbesondere mit den Veränderungen innerhalb der Infektionskette und hinsichtlich der Persistenz im Netzwerk, der Infrastruktur und den zuvor eingesetzten Tools:
    1. Modifizierte Versionen von legitimen ausführbaren Dateien, die benutzt werden, um von Sicherheitslösungen möglichst lange unentdeckt zu bleiben.
    2. Verlagerung der Infektionskette von einem JavaScript-Trojaner mit Backdoor-Fähigkeiten hin zu einer Bereitstellung der Payload über einen Multi-Prozess-Vorgang.
    3. Ein neu entdeckter, in Python-Skript geschriebener RAT, kurz PyVil RAT, der mit py2exe kompiliert wurde und in der Lage ist, neue Module herunterzuladen, um die Funktionalität zu erweitern.

Die Evilnum-Gruppe

Berichten zufolge richtet die Evilnum-Gruppe ihre Angriffe gegen Fintech-Unternehmen, die zumeist in Großbritannien und anderen EU-Ländern ansässig sind. Das Hauptziel der Gruppe ist es, die infizierten Ziele auszuspionieren und Informationen wie Passwörter, Dokumente, Browser-Cookies, E-Mail-Anmeldedaten und weitere mehr zu stehlen.

Zusätzlich zu den gruppeneigenen Tools hat Evilnum laut früheren Berichten in einigen Fällen auch Tools von Golden Chickens eingesetzt. Golden Chickens ist ein Malware-as-a-Service (MaaS)-Anbieter. Zu seinen Kunden gehören erwiesenermaßen Gruppen wie FIN6 und die Cobalt Group. Zu den von der Evilnum-Gruppe genutzten Tools zählen More_eggs, TerraPreter, TerraStealer und TerraTV.

Die Aktivität der Evilnum-Gruppe wurde erstmals 2018 aufgedeckt, als die erste Version ihres berüchtigten JavaScript-Trojaners auftauchte. Das Skript extrahiert C2-Adressen von Websites wie GitHub, DigitalPoint und Reddit, indem es bestimmte, zu diesem Zweck erstellte Seiten abfragt. Diese Technik ermöglicht es den Angreifern, die C2-Adresse der eingesetzten Agenten ganz einfach zu ändern, während die Kommunikation als Abfragen an legitime, bekannte Websites getarnt bleibt. 

Seitdem wurde die Gruppe bereits mehrfach bei unterschiedlichen Angriffen erwähnt, wobei sie jedes Mal ihr Rüstzeug um neue Fähigkeiten erweitert und das bestehende Arsenal ergänzt hat.

Der anfängliche Angriffsvektor ist typischerweise eine Spear-Phishing-Attacke mit dem Ziel, ZIP-Ordner zu übermitteln, die LNK-Dateien enthalten. Diese tarnen sich als Fotos von verschiedenen Dokumenten wie Führerschein, Kreditkarten und Rechnungen von Versorgungsunternehmen. Diese Dokumente sind höchstwahrscheinlich gestohlen und gehören realen Personen. 
Sobald eine solche LNK-Datei geöffnet wird, wird der JavaScript-Trojaner ausgeführt, der wiederum die LNK-Datei durch eine echte Bilddatei ersetzt, wodurch der gesamte Vorgang für den Benutzer nicht ersichtlich ist.

Bisher wurden, wie in diesem Artikel beschrieben, sechs verschiedene Varianten des JavaScript-Trojaners in Aktion entdeckt, jede mit kleinen Änderungen, die jedoch keinen Einfluss auf die Kernfunktionalität haben. Der JavaScript-Agent verfügt über verschiedene Funktionen wie das Hoch- und Herunterladen von Dateien, das Stehlen von Cookies, das Sammeln von Antivirus-Informationen, das Ausführen von Befehlen und viele weitere. 

Zusätzlich zu der JavaScript-Komponente verwendet die Gruppe, wie in einer früheren Analyse beschrieben, einen C#-Trojaner, der ähnliche Funktionalitäten aufweist wie die frühere JavaScript-Komponente.

Aktuelle Infektionskette

In der Vergangenheit startete die Evilnum-Infektionskette mit Spear-Phishing-E-Mails, die ZIP-Ordner mit LNK-Dateien übermittelten, getarnt als Bilder. Diese LNK-Dateien enthalten einen JavaScript-Trojaner mit unterschiedlichen Backdoor-Fähigkeiten, wie den bereits beschriebenen. 

In den letzten Wochen hat das Nocturnus-Team eine Änderung dieser Infektionskette beobachten können: Anstatt vier verschiedene LNK-Dateien in einem ZIP-Ordner zu übermitteln, die wiederum durch eine JPG-Datei ersetzt werden, wird zunächst nur eine Datei archiviert. Diese LNK-Datei tarnt sich als PDF-Datei, die mehrere Dokumente enthält, z. B. Rechnungen von Versorgungsunternehmen, Fotos von Kreditkarten und Führerscheinen.

Tom Fakterman, Nocturnus-Team von Cybereason, https://www.cybereason.com/

 


Artikel zu diesem Thema

DDoS Angriff
Sep 01, 2020

Die meisten DDoS-Angriffe stammen aus den USA und China

Der Threat Intelligence Report von A10 Networks zeigt, dass die USA und China die…
Phishing
Aug 06, 2020

Mögliche Gefahr durch KI-generiertes Spear Fishing

Obwohl sich Vectra AZ darauf konzentriert, KI zur Cyberabwehr einzusetzen, beobachtet das…
Hackergruppe
Jul 15, 2020

Hackergruppe attackiert gezielt Fintech-Unternehmen

Fintech-Unternehmen in der EU und Großbritannien sind das primäre Ziel der Hackergruppe…

Weitere Artikel

Cyber Attack

Cyberangriffe gegen digitale Identitäten häufen sich

SailPoint Technologies veröffentlichte die Ergebnisse einer aktuellen Umfrage unter Sicherheits- und IT-Verantwortlichen, die klären sollte, warum auch große, ressourcenstarke Unternehmen weiterhin kompromittiert werden. Dabei trat ein gemeinsamer Nenner…
Ransomware

Ransomware: Immer mehr Unternehmen zahlen Lösegeld

Wer das Lösegeld nach einer Ransomware-Attacke zahlt, erhöht die Attraktivität der Malware für Cyberkriminelle, warnt das Royal United Services Institute (RUSI) in einem aktuellen Report.
Zero Trust

Bedrohungstrends 2021: Ist Zero Trust die Antwort?

Die COVID-19-Pandemie ist weltweit ein Treiber für den digitalen Wandel – und für Cyber-Attacken. Während Unternehmen alles daran setzten, sichere Remote-Arbeits-Infrastrukturen für ihre Mitarbeiter zu schaffen, waren Cyber-Kriminelle vor dem Hintergrund der…
Facebook Hacked

Datendiebstahl bei Facebook: Vorsicht vor Smishing!

Sicherlich haben Sie in den vergangenen Tagen den Datendiebstahl von mehr als 500 Mio. Datensätzen bei Facebook verfolgt. Dazu ein Statement – sowohl zum Trend Smishing als auch ein paar Tipps – unseres Kunden Proofpoint, um die eigene Gefährdung vor diesen…
Update

Microsoft Exchange Server-Hack: Nach dem Angriff ist vor dem Angriff

Derzeit werden tausende Microsoft Exchange Server mit Updates gepatcht. Die Sicherheitslücken, die in den vergangenen Wochen zuhauf beispielsweise von der Hackergruppe Hafnium ausgenutzt wurden, sollten damit behoben sein – für die betroffenen Unternehmen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.