TA4563 组织利用 EvilNum 恶意软件攻击欧洲金融和投资实体

被追踪为 TA4563 的威胁行为者正在使用 EvilNum 恶意软件攻击欧洲金融和投资实体。

据 Proofpoint 报道，追踪为 TA4563 的威胁参与者利用 EvilNum 恶意软件攻击欧洲金融和投资实体。该集团专注于运营支持外汇、加密货币和去中心化金融 (DeFi) 的实体。

EvilNum 是一个后门，可以让攻击者窃取数据并加载额外的有效负载，它实现了多个组件来逃避检测。

自 2021 年底以来，TA4563 小组的目标是欧洲的各种实体。

 Proofpoint 研究人员表示，他们的分析与Zscaler 在 2022 年 6 月  公开报道的EvilNum 活动有一些重叠 。

对 2021 年 12 月开始的活动的分析显示，攻击者使用了据称与金融交易平台注册或相关文件有关的消息。攻击者还使用武器化的 Microsoft Word 文档来安装 EvilNum 后门的更新版本。

“这些消息使用了一个远程模板文档，分析师观察到该文档试图与域通信以安装多个 LNK 加载器组件，利用 wscript 加载 EvilNum 有效负载，以及最终安装在用户主机上的 JavaScript 有效负载。” 阅读Proofpoint 发布的分析。“这些诱饵包含一个财务主题，有一次暗示目标受害者需要提交‘丢失文件的所有权证明’。”

2022 年初，威胁行为者继续以欧洲金融实体为目标，但使用了不同的技术。恶意垃圾邮件尝试传递包含 ISO 或 .LNK 附件的多个 OneDrive URL。

在其他活动中，这些消息传递的是一个压缩的 .LNK 文件。

2022 年年中，攻击者再次改变其技术并开始交付 Microsoft Word 文档以尝试下载远程模板以启动 EvilNum 感染。

“EvilNum 恶意软件和 TA4563 组对金融机构构成风险。根据 Proofpoint 分析，TA4563 的恶意软件正在积极开发中。尽管 Proofpoint 没有观察到已确定的活动中部署的后续有效负载，但第三方报告表明 EvilNum 恶意软件可能被用来分发其他恶意软件，包括可通过 Golden Chickens 恶意软件即服务获得的工具。” 报告结束。“TA4563 已经调整了他们使用各种交付方法来破坏受害者的尝试，而 Proofpoint 观察到了这一活动并提供了检测更新来阻止这一活动，应该注意的是，顽固的对手将继续调整他们在妥协尝试中的姿态。”

作者： 皮尔路易吉·帕格尼尼