Malware

More Evil: เครื่องมือของกลุ่มแฮกเกอร์ Evilnum

นักวิจัยของ ESET วิเคราะห์เปิดเผยปฏิบัติการของกลุ่มแฮกเกอร์ Evilnum และเครื่องมือที่ใช้ในการโจมตี

กลุ่มแฮกเกอร์ APT ชื่อว่า Evilnum ผู้อยู่เบื้องหลังในการโจมตีบริษัทเทคโนโลยี มีความเป็นไปได้ที่จะเริ่มปฏิบัติการมาตั้งแต่ปี 2018

เป้าหมาย

จากการตรวจจับของ ESET พบเป้าหมายเป็นบริษัทเทคโนโลยีในภูมิภาคในยุโรปและสหภาพราชอาณาจักร รวมถึงออสเตรเลียและแคนาดาบางส่วน โดยเฉพาะในออฟฟิศที่มีหลายสาขา

โดยจุดประสงค์ของกลุ่ม Evilnum คือการสอดแนมข้อมูลทางการเงินจากทั้งตัวองค์กรและลูกค้า ตัวอย่างของข้อมูลที่ขโมยได้แก่:

  • ไฟล์เอกสารที่มีรายชื่อลูกค้า ประวัติการลงทัน และการซื้อขาย
  • ข้อมูลการนำเสนอ
  • ใบอนุญาตและข้อมูลล็อคอินซอฟต์แวร์หรือแพลตฟอร์มขององค์กร
  • ประวัติการใช้งานเบราว์เซอร์และคุ้กกี้
  • ข้อมูลล็อคอินอีเมล
  • ข้อมูลบัตรเครดิตของลูกค้า รวมถึงเอกสารการสมัครเข้าใช้บริการ

การโจมตี

แฮกเกอร์ใช้อีเมล Spearphishing ที่แนบไฟล์ ZIP จาก Google Drive ซึ่งบรรจุไฟล์ LNK (Shortcut) เอาไว้ หากผู้ใช้ดาวน์โหลดและเปิดไฟล์เหล่านี้โค้ด JavaScript อันตรายจะทำงาน

พวกเขาใช้ชื่อไฟล์ที่หลอกให้ฝ่ายการเงินเปิด เช่น Credit Card Back.jpg, Utillity Bill.jpg ซึ่งเป็นชื่อหลอก

มีความเป็นไปได้ที่กลุ่มแฮกเกอร์ Evilnum จะปฏิบัติการมานานกว่า 2 ปี เป็นอย่างต่ำ ด้วยโครงสร้างของการปฏิบัติการและเซิร์ฟเวอร์ที่ซับซ้อน รวมถึงอุปกรณ์เครื่องมือต่างๆ ทางทีมนักวิจัยของ ESET ยังเชื่อว่าพวกเขามีผลงานอื่นๆที่ยังไม่ปรากฏออกมา

Author: Matias Porolli
Source:
https://www.welivesecurity.com/2020/07/09/more-evil-deep-look-evilnum-toolset/
Translated by: Worapon H.

<span>%d</span> bloggers like this: