黑客使用 Evilnum 恶意软件攻击加密货币和商品平台

区块链安全 2年前 (2022) admin

606 0 0

主要发现

TA4563 是利用 EvilNum 恶意软件攻击欧洲金融和投资实体的威胁行为者，尤其是那些支持外汇、加密货币和去中心化金融 (DeFi) 的业务的实体。

EvilNum 是一个后门，可用于窃取数据或加载额外的负载。

该恶意软件包含多个有趣的组件，用于逃避检测并根据已识别的防病毒软件修改感染路径。

概述

自 2021 年底至今，Proofpoint Threat Research 观察到该组织 Proofpoint 调用 TA4563 以使用称为 EvilNum 的恶意软件针对各种欧洲金融和投资实体。在最近观察到的活动中，该行为者专门针对去中心化金融 (DeFi) 行业的实体。Proofpoint与TA4563 关联的活动与公开与称为DeathStalker 和 EvilNum的组关联的活动有一些重叠。本报告中描述的活动与Zscaler在2022年6月公开报告的 EvilNum 活动有一些重叠。

确定的活动在 2021 年末和 2022 年初使用 ISO、Microsoft Word 和快捷方式 (LNK) 文件的各种组合交付了 EvilNum 后门的更新版本，大概是作为测试交付方法有效性的一种方法。该恶意软件可用于侦察、数据盗窃和部署额外的有效载荷。

活动详情

2021

Proofpoint 观察到 2021 年 12 月的第一次活动。这些消息据称与金融交易平台注册或相关文件有关。观察到的最初活动包括试图交付负责试图安装 EvilNum 后门更新版本的 Microsoft Word 文档。

这些消息使用了一个远程模板文档，分析师观察到该文档试图与域通信以安装多个 LNK 加载器组件，利用 wscript 加载 EvilNum 有效负载，以及最终安装在用户主机上的 JavaScript 有效负载。这些诱饵包含一个财务主题，有一次暗示目标受害者需要提交“丢失文件的所有权证明”。

Proofpoint 确定了以下感染后相关域：

mailgunltd[.]com

azuredllservices[.]com

officelivecloud[.]com

黑客使用 Evilnum 恶意软件攻击加密货币和商品平台

2022 年初

该组织继续以原始电子邮件活动的变体为目标，试图提供包含 ISO 或 .LNK 附件的多个 OneDrive URL。在已确定的活动中，攻击者使用财务诱饵让接收者启动 EvilNum 有效负载。据称是的消息，例如：

来自：“Viktoria Helle”

主题：回复：提醒提交您的身份和地址证明

运动继续针对特定的欧洲金融和投资实体。

随后的活动包括直接交付压缩的 .LNK 文件作为安装 EvilNum 的额外尝试。

2022 年中

由于威胁行为者保持一致的目标和受害者，方法再次改变。在 2022 年中期的活动中，TA4563 交付 Microsoft Word 文档以尝试下载远程模板。

据称是的消息，例如：

来自：“19steeven”

主题：转发：KOT4X – 所有权证明（紧急丢失文件）

附件：steve kot4x.docx

附加的文档负责生成到 http://outlookfnd[.]com 的流量，这是一个可能由参与者控制的域，负责 EvilNum 有效负载。

黑客使用 Evilnum 恶意软件攻击加密货币和商品平台

图 1：提供 EvilNum 的附加 Word 文档。

EvilNum 详细信息

安全组织公开报告的以前版本的 EvilNum 包括后门的 JavaScript 组件和 C# 组件。Proofpoint 在最近的活动中没有观察到 JavaScript 组件，并分析了在最近的多个活动中观察到的 C# 组件。

每个活动都高度围栏；该恶意软件只允许每个 IP 地址进行一次下载，以确保只有目标主机才能检索最终的有效载荷。初始阶段 LNK 加载器负责通过 cmd.exe 执行 PowerShell，然后从初始主机（例如 infntio[.]com）下载两个不同的有效负载。

第一个有效负载负责执行两个 PowerShell 脚本。

黑客使用 Evilnum 恶意软件攻击加密货币和商品平台

图 2：PowerShell 脚本示例。

第一个用于解密 PNG 并按照逻辑重新启动感染链。第二个更大的 PowerShell 脚本动态加载 C# 代码并将屏幕截图发送到命令和控制服务器 (C2)。此 C# 应用程序然后执行另一个 PowerShell 命令：

/c start /min ”” powershell -inputformat none -outputformat none -windowstyle hidden -c ”&hpfde.exe” –v=[随机]

根据主机上的防病毒软件（Avast、AVG 或 Windows Defender）执行多个应用程序。该恶意软件将尝试调用主机上可能已经存在的多个可执行文件（例如 TechToolkit.exe 和 nvapiu.exe）。恶意软件执行链将更改为最好地避开已识别防病毒引擎的检测。

黑客使用 Evilnum 恶意软件攻击加密货币和商品平台

图 3：根据识别的防病毒引擎调用的可执行文件。

第二个有效载荷包含两个加密的 blob。第一个被解密为可执行文件（例如 hpfde.exe），第二个被解密为 TMP 文件（例如 devXYXY5.tmp）。初始可执行文件读取并解密 TMP 文件以加载 53KB 的 shellcode 文件，从而生成最终解密和解压缩的 PE 文件。

EvilNum 后门可用于侦察和数据盗窃活动以及加载后续有效载荷。

结论

EvilNum 恶意软件和 TA4563 组对金融机构构成风险。根据 Proofpoint 分析，TA4563 的恶意软件正在积极开发中。尽管 Proofpoint 没有观察到已确定的活动中部署的后续有效负载，但第三方报告表明 EvilNum 恶意软件可能被用来分发其他恶意软件，包括可通过 Golden Chickens 恶意软件即服务获得的工具。TA4563 已经调整了他们使用各种交付方法危害受害者的尝试，而 Proofpoint 观察了此活动并提供了检测更新以阻止此活动，应该注意的是，顽固的对手将继续调整他们的妥协尝试中的姿势。

妥协指标

2851693 – DNS 查找中的 ETPRO MALWARE EvilNum 相关域 (malware.rules)

2851694 – DNS 查找中的 ETPRO MALWARE EvilNum 相关域 (malware.rules)

2851695 – DNS 查找中的 ETPRO MALWARE EvilNum 相关域 (malware.rules)

2851696 – DNS 查找中的 ETPRO MALWARE EvilNum 相关域 (malware.rules)

2851697 – DNS 查找中的 ETPRO MALWARE EvilNum 相关域 (malware.rules)

指标	描述
hxxp://officelivecloud[.]com	有效载荷域 2021 年 12 月
hxxp://mailgunltd[.]com	有效载荷域 2021 年 12 月
hxxp://officelivecloud[.]com	有效载荷域 2021 年 12 月
hxxp://visitaustriaislands[.]com	指挥与控制领域 2022 年 5 月
hxxp://outlookfnd[.]com	指挥与控制领域 2022 年 6 月
hxxp://infntio[.]com/save/user.php	有效载荷 URL 2022 年 3 月
hxxp://advflat[.]com/save/user.php	命令和控制 URL 2022 年 3 月
hxxp://pngdoma[.]com/admin/index.php	命令和控制 URL 2022 年 3 月
hxxp://goalrom[.]com/admin/settings.php	命令和控制 URL 2022 年 3 月
hxxp://elitefocuc[.]com/save/user.php	命令和控制 URL 2022 年 3 月
hxxp://hubflash[.]co/configuration.php	命令和控制 URL 2022 年 4 月
现在预订[.]org	命令和控制域
bookaustriavisit[.]com	命令和控制域
moretraveladv[.]com	命令和控制域
estoniaforall[.]com	命令和控制域
ef1a660ee8b11bbcf681e8934c5f16e4a249ba214d743bbf8b1f8043296b6ffc	Word Doc SHA256 2022 年 6 月
da642cc233ea3595d8aaf8daf6129c59682b19462d5d5abb1f494042d4c044f4	Word Doc SHA256 示例 2022 年 6 月
53ade63ba9938fd97542a0a725d82045f362766f24f0b1f414f4693d9919f631	LNK SHA256 样本 2022 年 3 月
f0a002c7d2174f2a022d0dfdb0d83973c1dd96c4db86a2b687d14561ab564daa	LNK SHA256 样本 2022 年 3 月
53ade63ba9938fd97542a0a725d82045f362766f24f0b1f414f4693d9919f631	Word Doc SHA256 示例 2021 年 12 月
649183519d59ea332d687a01c37040b91da69232aadb0c1215c36a5b87ad2ec7	Word Doc SHA256 示例 2021 年 12 月
viktoria.helle79@zingamail[.]uk	发件人电子邮件 2022 年 3 月
paul@christiesrealestate[.]uk	发件人电子邮件 2021 年 12 月
雪利酒@schalapartners[.]com	发件人电子邮件 2022 年 3 月
arfeuille19@gmail[.]com	发件人电子邮件 2022 年 6 月
arole@delaware-north[.]com	发件人电子邮件 2022 年 5 月
hxxps://onedrive.live[.]com/download?resid= 680BC877518B4D11%21388&authkey=!AMMjaIOZSltiS_Q	OneDrive URL 2022 年 3 月
hxxps://onedrive.live[.]com/download?resid= 680BC877518B4D11!531&authkey=!ADr0ziYEPBJJK9w	OneDrive URL 2022 年 3 月
hxxps://onedrive.live[.]com/download?resid= 680BC877518B4D11!426&authkey=!AB60IPFY2E-XMXs	OneDrive URL 2022 年 3 月