APT-группа Evilnum проводит масштабные атаки на финтех-компании

Дата: 04.09.2020. Автор: Артем П. Категории: Новости по информационной безопасности

APT-группа Evilnum, известная своими многочисленными атаками на финансово-технологические организации с помощью поддельных документов «Know your Client» (KYC), недавно внесла значительные изменения в тактику и инструменты, согласно расследованию компании Cybereason.

Впервые обнаруженная еще в 2018 г., группировка Evilnum несколько раз улучшала свои возможности по проведению кибератак. Ее основная цель – шпионаж в отношении скомпрометированных организаций и кража конфиденциальных данных: пароли, документы, файлы cookie браузера и учетные данные электронной почты.

Цепочка заражения Evilnum традиционно начинается с целевых фишинговых писем, которые доставляют ZIP-архивы, содержащие файлы LNK, замаскированные под изображения, которые затем сбрасывают трояна JavaScript с различными возможностями бэкдора.

Том Фактерман, ИБ-эксперт компании Cybereason, отметил: «Процедуры заражения у группировки Evilnum существенно изменились за последние недели. Вместо доставки четырех разных файлов LNK в ZIP-архиве, которые заменяются файлами JPG, архивируется только один LNK, который маскируется под PDF-файл, содержащий несколько документов, вроде счетов за коммунальные услуги и фотографии кредитных карт».

Кроме того, компания Cybereason сообщила, что группировка Evilnum недавно расширила свою инфраструктуру, добавив список доменов, связанных с IP-адресом C2, который меняется каждые несколько недель.

Несмотря на эти изменения, Том Фактерман заметил, что «основной метод получения первоначального доступа к их целям в виде финансово-технологических компаний остался прежним: использование поддельных документов KYC, чтобы обмануть сотрудников финансовых организаций и запустить вредоносное ПО».

В результатах проведенного исследования компания Cybereason указала следующее: «Группировка Evilnum приложила немало усилий, чтобы успешно уклоняться от инструментов безопасности, ориентированных на предотвращение инцидентов кибербезопасности – это подчеркивает необходимость для организаций инвестировать в эффективные возможности обнаружения и реагирования, которые позволяют осуществлять глубокий поиск киберугроз в сети для выявления спроектированных угроз, обходящих начальные уровни безопасности».

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

4 × один =