Grup TA4563 memanfaatkan malware EvilNum untuk menargetkan entitas keuangan dan investasi Eropa

idNSA.id - Seorang threat actor, dilacak sebagai TA4563 memanfaatkan malware EvilNum untuk menargetkan entitas keuangan dan investasi Eropa, laporan dari Proofpoint. Grup ini berfokus pada entitas dengan operasi yang mendukung valuta asing, cryptocurrency, dan keuangan terdesentralisasi.

EvilNum adalah backdoor yang memungkinkan penyerang mencuri data dan memuat muatan tambahan, ia mengimplementasikan banyak komponen untuk menghindari deteksi. Grup TA4563 menargetkan berbagai entitas di Eropa sejak akhir 2021.

Peneliti Proofpoint menyatakan analisis mereka memiliki beberapa tumpang tindih dengan aktivitas EvilNum yang  dilaporkan secara publik  oleh Zscaler pada Juni 2022. 

Analisis kampanye yang dimulai pada Desember 2021 mengungkapkan bahwa penyerang menggunakan pesan yang diduga terkait dengan pendaftaran platform perdagangan keuangan atau dokumen terkait. Para penyerang juga menggunakan dokumen Microsoft Word yang dipersenjatai yang digunakan untuk menginstal versi terbaru dari backdoor EvilNum.

“Pesan-pesan ini menggunakan dokumen templat jarak jauh yang diamati oleh para analis yang mencoba berkomunikasi dengan domain untuk menginstal beberapa komponen pemuat LNK, memanfaatkan wscript untuk memuat muatan EvilNum, dan muatan JavaScript yang akhirnya diinstal pada host pengguna.” membaca analisis yang diterbitkan oleh Proofpoint. “Umpan ini mengandung tema keuangan, menunjukkan pada satu kesempatan bahwa korban yang dituju perlu menyerahkan “bukti kepemilikan dokumen yang hilang.”

Pada awal 2022, para pelaku terus menargetkan entitas keuangan Eropa tetapi menggunakan teknik yang berbeda. Pesan malspam berusaha mengirimkan beberapa URL OneDrive yang berisi lampiran ISO atau .LNK. Di kampanye lain, pesan mengirimkan file .LNK terkompresi.

Pada Pertengahan 2022, pelaku mengubah lagi tekniknya dan mulai mengirimkan dokumen Microsoft Word untuk mencoba mengunduh templat jarak jauh untuk memulai infeksi EvilNum.

“Malware EvilNum dan grup TA4563 menimbulkan risiko bagi organisasi keuangan. Berdasarkan analisis Proofpoint, malware TA4563 sedang dalam pengembangan aktif. Meskipun Proofpoint tidak mengamati muatan lanjutan yang disebarkan dalam kampanye yang teridentifikasi, pelaporan pihak ketiga menunjukkan bahwa malware EvilNum dapat dimanfaatkan untuk mendistribusikan malware tambahan termasuk alat yang tersedia melalui malware-as-a-service Golden Chickens.” Kesimpulan  laporan. “TA4563 telah menyesuaikan upaya mereka untuk mengkompromikan para korban menggunakan berbagai metode pengiriman, sementara Proofpoint mengamati aktivitas ini dan memberikan pembaruan deteksi untuk menggagalkan aktivitas.”