黑客组织Evilnum更新针对金融科技行业的攻击手法

《GovInfoSecurity》7月2日报道，研究人员发现黑客组织Evilnum近期通过使用MS Office Word文档更新了其攻击技战术（TTPs），开始利用文档模板注入将恶意负载传送到受害者的计算机。Evilnum是一个在2018年被发现的APT组织，该组织活跃于英国和欧盟国家，主要攻击目标为金融科技公司，目的为通过窃取交易凭证盗取公司或个人账户资金。在2021 年以前的早期活动中，该组织使用的主要分发媒介是LNK文件，攻击者将恶意快捷方式文件作为电子邮件附件通过鱼叉式网络钓鱼电子邮件中发送给受害者。更新技术后，攻击者首先通过钓鱼邮件获得对设备和网络的初始访问权限，成功交付执行恶意文档后，将从攻击者托管的域中获取第二阶段宏模板，同时包含关键的恶意宏代码。模板注入阶段使用基于宏的文档利用VBA代码替换技术绕过静态检测并干扰逆向工程分析，这种技术会篡改原始源代码，并且仅将VBA宏代码（也称为p代码）的编译版本存储在文档中。在下一阶段，使用严重混淆的JavaScript解密并在目标终端主机上投放有效负载。与EvilNum此前使用的版本相比，此JavaScript在混淆技术方面有显著改进，在JavaScript 执行期间，将创建一个名为“UpdateModel Task”的计划任务，以使用所需的命令行参数执行释放的加载程序二进制文件。