Evilnum ist bereits seit 2018 aktiv. Trotzdem war bislang nur wenig über die Gruppe bekannt, außer, dass ihr bereits einige Fintech-Unternehmen zum Opfer gefallen sind. Welche Werkzeuge und Techniken dabei zum Einsatz kamen und welche Motive hinter den Angriffen stecken könnten, wurde hingegen erst jetzt untersucht.
Geografisch liegt der Fokus der Gruppierung offenbar auf Europa, allerdings gibt es auch einige Opfer in Kanada und Australien. Das Vorgehen der APT bei ihren Angriffen ist dabei altbekannt: Durch sorgfältig mittels Social Engineering vorbereitete Spearphishing-E-Mails werden Mitarbeiter beispielsweise im technischen Support oder der Kundenbetreuung gezielt dazu gebracht, auf einen Link zu einer Zip-Datei auf Google Drive zu klicken. Die Archiv-Datei enthält Windows Verknüpfungs-Dateien, sogenannte „.lnk“-Dateien.
Einer Windows Verknüpfung kann ein beliebiges Dateisymbol zugeordnet und die Zieldatei, die die Verknüpfung beim Anklicken ausführen soll, als Befehl festgelegt werden. In Abbildung 1 ist ein Beispiel der Konfigurationsmöglichkeiten einer solchen Verknüpfung zu sehen.
Abbildung 1: Beispiel der Konfiguration einer Windows Verknüpfung
Da Windows standardmäßig bekannte Dateiendungen ausblendet, ist die Dateiendung „.lnk“ für den Nutzer in der Regel nicht sichtbar. Wird der Dateiname nun so gewählt, dass die Datei etwa auf „.jpg“ oder „.png“ endet, und das Windows Standardsymbol für Bilddateien auswählt, ist die Fälschung für Laien nur noch schwer zu erkennen.
Diesen Umstand machen sich die Angreifer von Evilnum zu Nutze. Das Zip-Archiv enthält (angeblich) eine Reihe von Bilddateien von Ausweisdokumenten, die vermeintlich zur Identifikation von Kunden dienen, was bei Banken nicht unüblich ist. Beim Anklicken der Verknüpfung wird dann im minimierten Fenstermodus die Windows-Kommandozeile gestartet und dabei schädlicher Skript-Code ausgeführt. Um den Nutzer vom Geschehen im Hintergrund abzulenken, wird sogar tatsächlich ein Bild eines Ausweisdokuments anzeigt. Sollte der Nutzer das seltsame Verhalten nach einigen Sekunden trotzdem bemerken, ist es in der Regel bereits zu spät und das System infiziert.
Der schädliche Skript-Code lädt in Sekundenschnelle mehrere Schadprogramme aus dem Internet herunter und führt diese aus, wodurch die Hacker über im Internet verteilte sogenannte „Command-and-Control-Server“ (kurz C2-Server) die Kontrolle über den infizierten Rechner erlangen und sich von dort mit Hilfe der in den Schadprogrammen enthaltenen Hacker-Werkzeuge weiter im Unternehmensnetzwerk ausbreiten können.
Das Ziel der Hacker ist es, wie häufig bei Angriffen auf Finanzunternehmen, Zugangsdaten und Finanzinformationen auszuspähen. Diese können dann entweder selbst genutzt werden, beispielsweise für Shoppingtouren im Netz oder sie werden gebündelt und an Dritte weiterverkauft.
Die Sicherheitsforscher von ESET haben auch die von Evilnum genutzten Schadprogramme bei ihrer Analyse genauer unter die Lupe genommen und Parallelen zu den Hackergruppen FIN6 und Cobalt Group festgestellt. Sie gehen jedoch trotzdem davon aus, dass es sich bei Evilnum um eine eigenständige Gruppierung handelt, da auch individueller Schadcode gefunden wurde, der bisher keiner anderen Gruppe zuzuordnen ist. Die Forscher haben die Theorie, dass Evilnum sich schlicht und einfach eines Anbieters von Malware-as-a-Service (MaaS) namens Golden Chickens bedient, der auch die anderen Gruppierungen mit Hacker-Werkzeugen beliefert.
Zu diesen Tools gehören ActiveX-Komponenten (OCX-Dateien), die den TerraLoader enthalten sowie einen Dropper für andere Schadprogramme, die den Kunden von Golden Chickens zur Verfügung gestellt werden.
Wenn ein Opfer ein Täuschungsdokument öffnet, werden die Evilnum-Malware, Python-basierte Tools oder eben die Golden Chickens-Komponenten gestartet. Jedes Tool verfügt dabei über eine Verbindung zu einem separaten C2-Server und arbeitet unabhängig von den anderen Tools, unabhängig davon, ob es sich um Informationsdiebstahl, die Bereitstellung zusätzlicher Malware oder andere schädliche Funktionen handelt. Die Malware, die Evilnum einsetzt, konzentriert sich vornehmlich auf Diebstahl, einschließlich aller im Browser gespeicherten Kontoanmeldeinformationen sowie Cookies, und durchsucht infizierte Systeme nach Kreditkarteninformationen, ID-Dokumenten, Kundenlisten, Investitions- und Handelsdokumenten, Softwarelizenzen und VPN-Konfigurationen.
Die Analyse zeigt, wie geschickt Kriminelle mittlerweile im Netz agieren, um ihre Ziele zu erreichen. Anstatt nach dem Gießkannen-Prinzip („spray and pray“) vorzugehen und zu hoffen, dass möglichst viele unachtsame Opfer auf die Phishing-Kampagne hereinfallen, nutzt Evilnum Social Engineering, um wenig Verdacht zu erregen und glaubwürdig zu erscheinen. Das erschwert es den Betroffenen deutlich, die Bedrohung zu erkennen und entsprechend zu handeln. Umso wichtiger ist es, gerade an Schnittstellen wie dem Kundenservice über diese Problematik zu informieren und die Mitarbeiter entsprechend zu schulen. Auch technische Vorkehrungen, wie die Sperrung von Administratorenrechten und Makros können dabei helfen, nicht selbst zum Opfer zu werden.