- Với biến thể mới của phần mềm độc hại Janicab, nhóm tấn công mạng APT Evilnum được biết đến với các backdoor như Janicab, Powersing, owerPepper, Evilnum để lấy cắp thông tin bí mật của các công ty được nhằm mục tiêu bao gồm bài thuyết trình nội bộ của công ty, giấy phép phần mềm, thông tin đăng nhập email, tài liệu chứa thông tin khách hàng, các khoản đầu tư và hoạt động giao dịch.

Gần đây, các chuyên gia đã công bố rằng phát hiện biến thể mới của phần mềm đôc hại có tên là Janicab được sử dụng trong cuộc tấn công nhằm vào các công ty luật trong suốt năm 2020 và 2021. Mục tiêu của các cuộc tấn công này bao gồm Ai Cập, Georgia, Ả Rập Xê Út, Tiểu vương quốc Ả Rập Thống nhất và Vương quốc Anh. Bên cạnh đó, các công ty du lịch đã trở thành mục tiêu của Evilnum như một phần của chiến dịch lớn hơn nhằm vào các tổ chức đầu tư tài chính ở Trung Đông và châu Âu.

Nhóm này sử dụng phương pháp tấn công lừa đảo trực tuyến để có được quyền truy cập ban đầu vào máy mục tiêu. Biến thể mới của Janicab đã loại bỏ các tính năng ghi âm và thêm một mô-đun keylogger. Các chức năng khác bao gồm kiểm tra các phần mềm chống virus đã cài đặt trên máy mục tiêu.

Điều đáng chú ý ở Evilnum là các cuộc tấn công vào năm 2021, nhóm đã sử dụng các liên kết YouTube cũ không công khai để lưu trữ một chuỗi mã hóa độc hại. Chuỗi mã hóa này sẽ được Janicab giải mã để trích xuất địa chỉ IP máy chủ C&C từ đó truy xuất các lệnh tiếp theo và lọc dữ liêu.

Các chuyên gia cũng nhấn mạnh rằng vì đối tượng tấn công sử dụng các liên kết YouTube cũ không được công khai nên khả năng tìm thấy các liên kết độc hại liên quan trên YouTube là không thể. Điều này cho thấy, Evilnum đã nỗ lực phát triển công cụ cũng như chiến thuật tấn công của mình để không bị phát hiện trong suốt thời gian dài.

Theo khuyến nghị từ các chuyên gia bảo mật, bên cạnh việc kiểm soát các ứng dụng đang sử dụng, các cơ quan tổ chức nên giám sát các quy trình của Internet Explorer vì trình duyệt được sử dụng ở chế độ ẩn để giao tiếp tiếp với máy chủ độc hại C&C.

PV