Siber güvenlik kuruluşu Eset, özellikle finansal teknoloji şirketlerini hedef alan Evilnum Grubu’nu mercek altına aldı. Bu grup, hedeflerini gizlice gözetliyor ve odaklandığı şirketlerden müşteri listeleri, müşteri kredi kartı ve kimlik bilgileri ya da ticari dataları gibi oldukça hassas verileri çalıyor. Amacına ulaşmak için de başka karanlık siber gruplarla iş birliği yapıyor.
ESET araştırmacıları, kötü amaçlı Evilnum yazılımının ardındaki Evilnum APT Grubu’nun faaliyetlerine ilişkin kapsamlı bir analiz yayınladı. Bu analize göre bu grup, online ticarete yönelik platform ve araçlar sağlayan finansal teknoloji şirketlerini hedef alıyor. Hedefler şirketlerin çoğu Avrupa ülkelerinde ve İngiltere’de bulunsa da Avustralya ve Kanada gibi ülkelerde de saldırılar saptandı.
Hangi belge veya bilgilere ulaşmaya çalışıyor?
Evilnum grubunun asıl amacı hem hedef alınan şirketlerin hem de müşterilerinin finansal bilgilerini ele geçirmek. Evilnum, müşteri kredi kartı bilgileri ve adres/kimlik belgeleri, müşteri listelerinin yer aldığı tablolar ve belgeler, yatırımlar ve ticari faaliyetler, yazılım lisansları ve ticaret yazılımlarının ya da platformlarının kimlik bilgileri, e-posta bilgileri ve diğer veriler de dahil olmak üzere hassas bilgileri çalıyor. Grup, VPN yapılandırmaları gibi bilişim sistemlerine ilişkin de erişim sağlıyor. Veriler, şirketlerde müşterilerinden düzenli olarak kimlik ya da kredi kartı bilgilerini alan teknik destek temsilcileri ve hesap yöneticilerinin hedef alındığını gösteriyor.
Başka karanlık gruplarla iş birliği yapıyor
Evilnum ile ilgili soruşturmayı yöneten ESET Araştırmacısı Matias Porolli, şunları dile getirdi “Bu kötü amaçlı yazılım en az 2018 yılından beri umarsızca kullanılıyor ve daha önce belgelendirilmiş olmasına karşın, bunun ardındaki grup ve nasıl faaliyet gösterdiği hakkında çok az içerik yayımlandı. Tespitlerimize göre Evilnum, kötü amaçlı yazılım sağlayıcısı Golden Chickens’tan satın alındığı araçları da kullanarak, özel ve ev yapımı kötü amaçlı yazılımlarla faaliyetlerini gerçekleştiriyor.
Saldırı nasıl gerçekleşiyor?
Porolli sözlerini şöyle sürdürdü: “Hedeflere, içerisinde Google Drive’da barındırılan bir ZIP dosyası bağlantısının yer aldığı kimlik avı dolandırıcılığı amaçlı e-postalarla yaklaşılıyor. O arşivin içerisinde, bir yandan kötü amaçlı bir bileşeni ayıklayıp yürütürken, diğer yandan da sahte bir belge görüntüleyen çok sayıda kısa yol dosyası yer alıyor.
Parola toplama, ekran görüntüsü alma
Birçok kötü amaçlı kodda da olduğu gibi Evilnum, kötü amaçlı yazılımına komutlar gönderilebiliyor. Bu komutlar arasında Google Chrome tarafından kaydedilen parolaları toplama ve gönderme, ekran görüntüleri alma, kötü amaçlı yazılımı durdurma ve sürekliliği kaldırma, Google Chrome çerezlerini toplama ve bir komuta ve kontrol sunucusuna gönderme gibi komutlar yer alıyor.