隱寫術、小火龍與AgentVX：APT組織Evilnum新攻擊活動詳細分析

近期，伏影實驗室捕捉到多個以護照掃描檔案作為誘餌的網路釣魚活動。經過分析，我們確認該活動來自APT組織Evilnum，是其長期以來針對金融目標犯罪活動的延續。Evilnum攻擊者在本次釣魚活動中構建了新型攻擊流程，並透過NSIS包裝、簽名、隱寫術等操作實現免殺，最終投遞一種新型木馬程式AgentVX，展現了較高技術水平。

組織資訊

Evilnum是一個在2018年被發現的APT組織，活躍於英國和歐盟國家，主要攻擊目標為金融科技公司。組織名稱Evilnum來自同名的木馬程式，亦被卡巴斯基稱為DeathStalker。

Evilnum的代表性攻擊手段是將惡意程式偽裝成客戶的身份證明檔案，欺騙金融公司工作人員執行這些程式，進而透過植入間諜木馬獲得受害者主機上高價值資訊。

組織歸因

本次網路釣魚活動在攻擊目標、初始載荷形式、誘餌內容、隱寫術圖片、域名形式等方面與已知APT組織Evilnum的特徵高度相似，因此可以判斷本次活動由Evilnum組織發起。

01

攻擊目標

分析表明，本次攻擊活動的目標為英國與歐盟國家（本例中為丹麥）的從事公民身份驗證事務的工作人員，這樣的事務主要集中於金融性質的企業中。

這一特徵與Evilnum組織的活動高度重合。已披露的對Evilnum組織的分析報告(https://www.welivesecurity.com/2020/07/09/more-evil-deep-look-evilnum-toolset/)中，該組織的主要攻擊目標為“位於英國和其他歐盟國家的金融科技公司”，以竊取這些公司的內部文件或密碼為目的。

02

初始載荷

本次攻擊活動的初始載荷是lnk格式的惡意檔案。這同樣是Evilnum組織濫用的載荷型別。

本次發現的Evilnum投放的誘餌檔案分別名為

“HANSENThomasPassport.pdf.lnk”和“MyProofofIdentity_HPSCAN_20200428104555829.pdf.lnk”，是一種帶有混淆cmd命令的惡意快捷方式檔案。

Evilnum組織通常會將多個惡意的lnk檔案打包為壓縮檔案，並透過Google Drive等網盤服務進行傳播。這些惡意lnk檔案都帶有雙重副檔名，試圖偽裝成png、jpg、pdf等檔案格式。使用者開啟壓縮包中任意的lnk檔案都會導致木馬程式的執行。

03

誘餌圖片

本次攻擊活動中，攻擊者分別利用了一位英國公民和丹麥公民的護照內容作為誘餌。為了提高真實性，這些誘餌內容使用了真實的護照照片。這種誘餌利用方式與Evilnum的行動特徵一致。

本次活動中的誘餌檔案會顯示分別來自英國和丹麥的兩位公民的護照照片：

Evilnum組織會將從其他渠道獲取到的能夠證明公民身份的影像作為誘餌，以迷惑受害者。已發現的被Evilnum使用的證件型別包括護照、駕照、銀行卡、身份卡、賬單等。

04

隱寫術

本次攻擊活動中，攻擊者使用了隱寫術，將加密後的木馬程式放入圖片檔案當中。

隱寫圖片提取過程中使用的演算法與邏輯見下圖：

已知的Evilnum活動中（https://securelist.com/what-did-deathstalker-hide-between-two-ferns/99616/），隱寫術也是該組織攻擊者的常用技術。Evilnum曾使用png圖片作為中間檔案，傳遞混淆的PowerShell指令碼。

05

域名形式

本次攻擊活動中，攻擊者使用的域名包括cdn.cjsassets[.]com和cdn.avbcloud[.]com，分別作為其下載伺服器與CnC伺服器。這種以cdn作為三級域名的思路也出現在Evilnum既往活動中(https://www.welivesecurity.com/2020/07/09/more-evil-deep-look-evilnum-toolset/)。