Европейский финетех сектор стал объектом особых устремлений со стороны APT EvilNum (отслеживается как TA4563) которая использует одноименное вредоносное ПО для нападения на европейские финансовые и инвестиционные организации.
Согласно выводам Proofpoint, злоумышленники фокусируются на организациях, осуществляющих операции с иностранными биржами, криптовалютой и децентрализованными финансовыми активами DeFi.
Сам же EvilNum представляет собой бэкдор позволяющий красть данные и загружать полезную нагрузку. Также он реализует несколько компонентов для уклонения от обнаружения.
Деятельность группы отслежвается с конца 2021 года и в более ранних кампаниях, основным вектором атаки, были файлы ярлыков Windows (LNK), отправляемые с "заряженным" ZIP в виде вложений электронной почты при фишинговых рассылках жертвам.
В самых последних атаках субъект угрозы начал использовать документы MS Office Word, применяя внедрение шаблонов документов для доставки вредоносной полезной нагрузки на компьютеры жертв.
Помимо Proofpoint за активностью EvilNum следят специалисты Zscaler, которые уже сообщали о тактике и методах работы в июне этого года.
Направленность группировки понятна и соответствующие опасения со стороны европейский финансовых организаций тоже, учитывая что вредоносное ПО TA4563 находится в активной разработке и хакеры постоянно корректируют свою работу в очередных попытках взлома.
Согласно выводам Proofpoint, злоумышленники фокусируются на организациях, осуществляющих операции с иностранными биржами, криптовалютой и децентрализованными финансовыми активами DeFi.
Сам же EvilNum представляет собой бэкдор позволяющий красть данные и загружать полезную нагрузку. Также он реализует несколько компонентов для уклонения от обнаружения.
Деятельность группы отслежвается с конца 2021 года и в более ранних кампаниях, основным вектором атаки, были файлы ярлыков Windows (LNK), отправляемые с "заряженным" ZIP в виде вложений электронной почты при фишинговых рассылках жертвам.
В самых последних атаках субъект угрозы начал использовать документы MS Office Word, применяя внедрение шаблонов документов для доставки вредоносной полезной нагрузки на компьютеры жертв.
Помимо Proofpoint за активностью EvilNum следят специалисты Zscaler, которые уже сообщали о тактике и методах работы в июне этого года.
Направленность группировки понятна и соответствующие опасения со стороны европейский финансовых организаций тоже, учитывая что вредоносное ПО TA4563 находится в активной разработке и хакеры постоянно корректируют свою работу в очередных попытках взлома.