Anzeige

Cybercrime

Während der letzten Monate hat das Nocturnus-Team von Cybereason die Aktivitäten der Evilnum-Gruppe untersucht. Die Gruppe trat im Jahr 2018 zum ersten Mal in Erscheinung, und seitdem gehen vielfältige Aktivitäten auf Evilnum zurück – laut neuesten Berichten wurden dabei verschiedene in Javascript und C# geschriebene Komponenten verwendet sowie Tools, die vom Malware-as-a-Service-Anbieter Golden Chickens stammen. 

Die Aktivitäten der Gruppe scheinen – im Gegensatz zu einem großflächigen Phishing-Angriff – ausgesprochen zielgerichtet zu sein, mit Schwerpunkt auf dem FinTech-Markt. Dabei macht sich EvilNum einen nicht nur in der Finanzbranche üblichen Prozess zunutze, der unter der Bezeichnung "Know your Customer" bekannt ist. Das Know Your Customer-Prinzip (KYC) dient der Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstiger Wirtschaftskriminalität. Insbesondere im Finanzsektor, aber auch in anderen Branchen, ist eine Prüfung nach dem KYC-Prinzip zur präzisen Identifikation von Kunden und Geschäftspartnern rechtlich vorgeschrieben.

EvilNum verlässt sich beim Einstiegsvektor auf das bewährte Mittel einer Spear-Phishing-Attacke. Sie nimmt einzelne Mitarbeiter oder ganze Finanz-Teams ins Visier und versucht diese mittels gefälschter, angeblich besonders wichtiger Finanzdokumente, die von Kunden bei Geschäftsabschlüssen zur Verfügung gestellt werden, zum Öffnen derselben zu bewegen. Seit ihrem erstmaligen Erscheinen hat die Gruppe hauptsächlich Unternehmen innerhalb der EU angegriffen.

In den letzten Wochen beobachtete das Nocturnus-Team erneute Aktivitäten der Gruppe, auf Basis mehrerer nennenswerter Änderungen gegenüber den zuvor beobachteten Taktiken und Techniken. Zu diesen Variationen zählen Veränderungen innerhalb der Infektions- und Persistenzkette, eine neue Infrastruktur, die sich im Laufe der Zeit ausweitet, und die Verwendung eines als Python-Skript geschriebenen Remote Access Trojaners (RAT), den das Nocturnus-Team auf den Namen „PyVil RAT“ getauft hat. 

PyVil RAT verfügt über Reihe unterschiedlicher Funktionen und ermöglicht es den Angreifern, Daten zu exfiltrieren, Keylogging, das Erstellen von Screenshots, aber auch zusätzliche Tools wie LaZagne einzusetzen, um beispielsweise Zugangsdaten zu stehlen.

Im Rahmen der aktuellen Untersuchung befasst sich das Nocturnus-Team mit den jüngsten Aktivitäten der Evilnum-Gruppe sowie der neuartigen Infektionskette und den verwendeten Tools.

Die wichtigsten Ergebnisse in Kürze: 

  • Evilnum: Das Nocturnus-Team von Cybereason beobachtet mithilfe verschiedener Tools die Aktivitäten der Evilnum-Gruppe, die seit zwei Jahren aktiv ist.
  • Angriffe auf den Finanzsektor: Es ist bekannt, dass die Gruppe FinTech-Unternehmen im Visier hat und das Know Your Customer (KYC)-Verfahren missbraucht, um die Infektionskette zu starten. Banken, Kreditinstitute und Versicherungsagenturen, die eng mit Fintechs zusammenarbeiten, sind ebenfalls gefährdet, sich durch die gefälschten Dokumente und Dateien täuschen zu lassen. 
  • Neue Variationen: In der aktuellen Untersuchung beschäftigt sich das Nocturnus-Team insbesondere mit den Veränderungen innerhalb der Infektionskette und hinsichtlich der Persistenz im Netzwerk, der Infrastruktur und den zuvor eingesetzten Tools:
    1. Modifizierte Versionen von legitimen ausführbaren Dateien, die benutzt werden, um von Sicherheitslösungen möglichst lange unentdeckt zu bleiben.
    2. Verlagerung der Infektionskette von einem JavaScript-Trojaner mit Backdoor-Fähigkeiten hin zu einer Bereitstellung der Payload über einen Multi-Prozess-Vorgang.
    3. Ein neu entdeckter, in Python-Skript geschriebener RAT, kurz PyVil RAT, der mit py2exe kompiliert wurde und in der Lage ist, neue Module herunterzuladen, um die Funktionalität zu erweitern.

Die Evilnum-Gruppe

Berichten zufolge richtet die Evilnum-Gruppe ihre Angriffe gegen Fintech-Unternehmen, die zumeist in Großbritannien und anderen EU-Ländern ansässig sind. Das Hauptziel der Gruppe ist es, die infizierten Ziele auszuspionieren und Informationen wie Passwörter, Dokumente, Browser-Cookies, E-Mail-Anmeldedaten und weitere mehr zu stehlen.

Zusätzlich zu den gruppeneigenen Tools hat Evilnum laut früheren Berichten in einigen Fällen auch Tools von Golden Chickens eingesetzt. Golden Chickens ist ein Malware-as-a-Service (MaaS)-Anbieter. Zu seinen Kunden gehören erwiesenermaßen Gruppen wie FIN6 und die Cobalt Group. Zu den von der Evilnum-Gruppe genutzten Tools zählen More_eggs, TerraPreter, TerraStealer und TerraTV.

Die Aktivität der Evilnum-Gruppe wurde erstmals 2018 aufgedeckt, als die erste Version ihres berüchtigten JavaScript-Trojaners auftauchte. Das Skript extrahiert C2-Adressen von Websites wie GitHub, DigitalPoint und Reddit, indem es bestimmte, zu diesem Zweck erstellte Seiten abfragt. Diese Technik ermöglicht es den Angreifern, die C2-Adresse der eingesetzten Agenten ganz einfach zu ändern, während die Kommunikation als Abfragen an legitime, bekannte Websites getarnt bleibt. 

Seitdem wurde die Gruppe bereits mehrfach bei unterschiedlichen Angriffen erwähnt, wobei sie jedes Mal ihr Rüstzeug um neue Fähigkeiten erweitert und das bestehende Arsenal ergänzt hat.

Der anfängliche Angriffsvektor ist typischerweise eine Spear-Phishing-Attacke mit dem Ziel, ZIP-Ordner zu übermitteln, die LNK-Dateien enthalten. Diese tarnen sich als Fotos von verschiedenen Dokumenten wie Führerschein, Kreditkarten und Rechnungen von Versorgungsunternehmen. Diese Dokumente sind höchstwahrscheinlich gestohlen und gehören realen Personen. 
Sobald eine solche LNK-Datei geöffnet wird, wird der JavaScript-Trojaner ausgeführt, der wiederum die LNK-Datei durch eine echte Bilddatei ersetzt, wodurch der gesamte Vorgang für den Benutzer nicht ersichtlich ist.

Bisher wurden, wie in diesem Artikel beschrieben, sechs verschiedene Varianten des JavaScript-Trojaners in Aktion entdeckt, jede mit kleinen Änderungen, die jedoch keinen Einfluss auf die Kernfunktionalität haben. Der JavaScript-Agent verfügt über verschiedene Funktionen wie das Hoch- und Herunterladen von Dateien, das Stehlen von Cookies, das Sammeln von Antivirus-Informationen, das Ausführen von Befehlen und viele weitere. 

Zusätzlich zu der JavaScript-Komponente verwendet die Gruppe, wie in einer früheren Analyse beschrieben, einen C#-Trojaner, der ähnliche Funktionalitäten aufweist wie die frühere JavaScript-Komponente.

Aktuelle Infektionskette

In der Vergangenheit startete die Evilnum-Infektionskette mit Spear-Phishing-E-Mails, die ZIP-Ordner mit LNK-Dateien übermittelten, getarnt als Bilder. Diese LNK-Dateien enthalten einen JavaScript-Trojaner mit unterschiedlichen Backdoor-Fähigkeiten, wie den bereits beschriebenen. 

In den letzten Wochen hat das Nocturnus-Team eine Änderung dieser Infektionskette beobachten können: Anstatt vier verschiedene LNK-Dateien in einem ZIP-Ordner zu übermitteln, die wiederum durch eine JPG-Datei ersetzt werden, wird zunächst nur eine Datei archiviert. Diese LNK-Datei tarnt sich als PDF-Datei, die mehrere Dokumente enthält, z. B. Rechnungen von Versorgungsunternehmen, Fotos von Kreditkarten und Führerscheinen.

Tom Fakterman, Nocturnus-Team von Cybereason, https://www.cybereason.com/

 


Artikel zu diesem Thema

DDoS Angriff
Sep 01, 2020

Die meisten DDoS-Angriffe stammen aus den USA und China

Der Threat Intelligence Report von A10 Networks zeigt, dass die USA und China die…
Phishing
Aug 06, 2020

Mögliche Gefahr durch KI-generiertes Spear Fishing

Obwohl sich Vectra AZ darauf konzentriert, KI zur Cyberabwehr einzusetzen, beobachtet das…
Hackergruppe
Jul 15, 2020

Hackergruppe attackiert gezielt Fintech-Unternehmen

Fintech-Unternehmen in der EU und Großbritannien sind das primäre Ziel der Hackergruppe…

Weitere Artikel

Hacker

48 Prozent der ICS-Experten wissen nicht, ob sie gehackt wurden

Das SANS Institute veröffentlicht die Ergebnisse seiner Umfrage zur ICS-Sicherheit 2021. Die OT-Cybersicherheitslandschaft hat sich in den letzten zwei Jahren seit dem Erscheinen der letzten Studie erheblich verändert.
Ransomware

Die wichtigsten Ransomware-Fakten

Diese Zusammenstellung von Daten und Fakten zum allgegenwärtigen Thema Ransomware wirft ein Schlaglicht darauf, wie es um die derzeitigen Ansätze zur Cybersicherheit bestellt ist. Ein Kommentar von Jochen Rummel, Regional Director bei Illusive.
UNO

Cyberangriff auf die UNO - Wachsamkeit von enormer Bedeutung

Die gestohlenen Log-In Daten eines UN-Mitarbeiters werden im Darknet verkauft und für massive Datendiebstähle im Netzwerk der UNO genutzt. Was sich wie die Story der nächsten erfolgreichen Netflix Serie anhört ist dieses Jahr so geschehen.
Gamer Hacked

Sicherheitslücke in HP OMEN Gaming Hub gefährdet Millionen Gaming-Geräte

Eine schwerwiegende Sicherheitslücke in Treiber der Gamingsoftware von HP OMEN erlaubt Systemübergriffe und das Einschleusen von Malware für nichtprivilegierte Nutzer; ein Update-Patch wurde von HP zur Verfügung gestellt.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.