Mit dem jüngsten Auftreten haben die Bedrohungsakteure begonnen, MS-Office-Word-Dokumente zu verwenden und die Injektion von Dokumentvorlagen zu nutzen, um die schädliche Payload auf den Computer des Opfers zu übertragen. Die Sicherheitsforscher [1] konnten mehrere Domains identifizieren, die mit der Evilnum-APT-Gruppe in Verbindung stehen und die bislang unbekannt waren. Im ersten Schritt wird ein Schadcode-behaftetes Dokument über Spear-Phishing-Mails verbreitet.

Wenn ein User dieses Dokument herunterlädt und öffnet, lädt der zweite Schritt ein Makro-Template von der Webseite nach, die von den Angreifern registriert wurde. Darin wird der User aufgefordert, das Makro zu aktivieren. Der Makro-Code verwendet die VBA-Code-Stomping-Technik, um den Orignal-Source-Code zu zerstören und durch die kompilierte Version des VBA-Makro-Codes in dem Dokument zu ersetzen.

Ein stark verschleiertes JavaScript findet Verwendung, um die Payload auf dem Endpunkt abzulegen. Die abgelegte Binärdatei wird im Anschluss aufbauend auf einem geplanten Startzeitpunkt ausgeführt. Dieses JavaScript weist im Vergleich zu den von der Evilnum-APT-Gruppe verwendeten früheren Versionen erhebliche Verbesserungen in der Verschleierungstechnik auf.

dr

[1] https://www.zscaler.com/blogs/security-research/return-evilnum-apt-updated-ttps-and-new-targets