【安全资讯】Evilnum组织针对欧洲金融科技公司的攻击活动

研究人员近期捕获到Evilnum 组织针对欧洲数字货币企业的攻击活动。Evilnum组织自2018年起就一直攻击金融科技行业，擅长对受害者目标使用鱼叉式网络钓鱼电子邮件，主要针对整个欧洲的金融科技公司。由于金融公司多数需要身份信息来验证注册，因此用于钓鱼邮件通常使用扫描信用卡、水电费账单、身份证、驾驶执照和其他身份信息图片作为诱饵内容。

研究人员期捕获到 Evilnum 组织针对数字货币企业的攻击活动，捕获到多起攻击活动，诱饵多数为身份信息的截图，其中一起以“通用数据保护条例(GDPR)”作为诱饵内容针对 KOT4X 数字货币交易所的攻击。 诱饵文档截图如下：

活动中所使用的攻击手法流程图如下:

研究人员经过分析得到了以下发现：

• 1.攻击者以“通用数据保护条例(GDPR)”为诱饵针对 KOT4X 单位进行鱼叉攻击，除此还有身份验证信息类型诱饵；
• 2.诱饵文档采用 LNK 加载 JS 代码的方法执行恶意代码， LNK 文件包含J S 代码、PDF、EXE 等数据，经过 JS 代码多层解密后执行最后的后门程序，整体分多个阶段执行，复杂程度较高；
• 3.载荷具备反调试、检测杀软的功能，多个阶段的载荷都有延迟代码，在获取最终阶段的载荷失败，则会等待3个小时后再次运行，这意味着该后门将隐蔽性放在第一原则；
• 4.研究人员通过对相关样本、IP 和域名的溯源分析，共提取5条相关IOC，可用于威胁情报检测。

总结：

Evilnum 组织因使用 Evilnum 恶意软件而闻名，该组织最初于2018年被安全公司所披露，擅长对受害者目标使用鱼叉式网络钓鱼电子邮件。通过对 LNK 的元数据、手法和诱饵文件特征进行关联，研究人员发现该组织活动期间所投递的诱饵均针对金融企业单位。