Kể từ năm 2018, các tin tặc nhắm mục tiêu vào ngành công nghệ tài chính (fintech) đã thay đổi chiến thuật tấn công bằng cách sử dụng Trojan truy cập từ xa viết bằng ngôn ngữ lập trình Python nhằm đánh cắp mặt khẩu, tài liệu, cookie duyệt web, thông tin đăng nhập email và các thông tin nhạy cảm khác.
Theo một phân tích được công bố bởi các nhà nghiên cứu Cyberreason, nhóm tin tặc Evilnum không chỉ tinh chỉnh chuỗi lây nhiễm mà còn triển khai một công cụ có tên “PyVil RAT”, có khả năng thu thập thông tin, chụp ảnh màn hình, chụp ảnh dữ liệu gõ phím, mở một shell SSH và triển khai các công cụ mới.
Trong vòng 2 năm qua, nhóm Evilnum có tham gia vào một số chiến dịch mã độc nhắm vào các công ty tại Anh và Liên minh châu Âu, sử dụng các backdoor được viết bằng JavaScript và C# cùng các công cụ được mua từ ‘nhà cung cấp’ phần mềm độc hại như Golden Chickens.
Tháng 07/2020, nhóm tấn công APT này bị phát hiện nhắm mục tiêu vào các công ty qua các email spear-phishing, trong đó có chứa một đường dẫn đến một file Zip được lưu trữ trên Google Drive. Mục tiêu của nhóm là đánh cắp bản quyền phần mềm, thông tin thẻ tín dụng của khách hàng, các tài liệu đầu tư và tài liệu thương mại.
Trong khi cách thức hoạt động vẫn được giữ nguyên thì quy trình lây nhiễm có những thay đổi đáng kể.
Ngoài việc sử dụng các email lừa đảo đính kèm tài liệu xác minh danh tính khách hàng (KYC – know your customer) giả mạo để lừa nhân viên của các công ty tài chính kích hoạt mã độc, thì các cuộc tấn công còn chuyển từ sử dụng trojan JavaScript sang dropper JavaScript nhằm phát tán các payload độc hại ẩn trong các phiên bản sửa đổi của tệp thực thi hợp pháp nhằm tránh bị phát hiện.
Theo các nhà nghiên cứu: “JavaScript này chỉ là bước đầu trong chuỗi lây nhiễm có nhiệm vụ thả payload – một trojan RAT viết bằng Python có tên PyVil RAT”.
Khi được thực thi, quy trình phát tán đa tiến trình (“ddpp.exe”) sẽ giải nén shellcode để thiết lập giao tiếp với máy chủ của hacker và nhận một tệp thực thi được mã hóa thứ hai (“fplayer.exe”) đóng vai trò là trình tải xuống để tìm nạp Python RAT.
Các nhà nghiên cứu lưu ý: “Trong các chiến dịch trước, công cụ của nhóm Evilnum đã tránh sử dụng tên miền để giao tiếp với máy chủ C&C, mà chỉ sử dụng địa chỉ IP. Trong khi địa chỉ IP máy chủ C&C thay đổi vài lần một tuần, danh sách các tên miền liên kết với địa chỉ IP này vẫn tiếp tục tăng lên”.
Vì các kỹ thuật tấn công APT vẫn liên tục biến đổi, nên các doanh nghiệp cần nâng cao cảnh giác và nhân viên cần cẩn trọng khi mở các email và tệp tin đính kèm không rõ nguồn gốc
