Asylum Ambuscade, en trusselsaktør, har været involveret i en, sjældent set, kombination af cyberkriminalitet og cyberspionageaktiviteter siden begyndelsen af ​​2020, ifølge nylige observationer.
Gruppen fokuserer primært på at målrette sig bankkunder og kryptovaluta-brugere i Nordamerika og Europa, samt at udføre spionageoperationer mod statslige enheder i Europa og Centralasien, som rapporteret af ESET. Denne artikel dykker ned i gruppens taktik, mål og virkningen af ​​dens aktiviteter.
Phishing-kampagne og spionageoperationer
Oprindeligt dokumenteret af Proofpoint i marts 2022, blev Asylum Ambuscade identificeret som en nationalstatssponsoreret phishing-kampagne rettet mod europæiske statslige enheder. Målet var at indsamle efterretninger relateret til flygtninge- og forsyningsbevægelser i regionen. Asylum Ambuscade, som identificeret af det slovakiske cybersikkerhedsfirma, søger at udtrække fortrolige oplysninger og webmail-legitimationsoplysninger fra officielle regerings-e-mail-portaler.
Angrebskæde og implementering af malware
Angrebene begynder med spear-phishing-e-mails, der indeholder en ondsindet vedhæftet fil i Excel-regneark. Når den vedhæftede fil åbnes, udnyttes enten VBA-kode eller Follina-sårbarheden (CVE-2022-30190) til at downloade en MSI-pakke fra en fjernserver.
Efterfølgende implementeres en downloader kaldet SunSeed, skrevet i Lua eller dets Visual Basic Script-ækvivalent, af installationsprogrammet. Denne downloader henter AHK Bot, en malware baseret på AutoHotkey, fra en anden fjernserver.
Udbredte aktiviteter inden for cyberkriminalitet
Asylum Ambuscade skiller sig ud på grund af sine omfattende cyberkriminalitetsoperationer, der har påvirket over 4.500 ofre verden over siden januar 2022. Størstedelen af ​​ofrene befinder sig i Nordamerika, Asien, Afrika, Europa og Sydamerika. ESET-forsker Matthieu Faou bemærkede, at gruppens mål er forskellige og omfatter enkeltpersoner, kryptovalutahandlere og små og mellemstore virksomheder (SMB'er) på tværs af forskellige industrier.
Mens at stjæle kryptovaluta er et mål, antyder målretningen af ​​SMB'er en intention om at sælge adgang til andre cyberkriminelle grupper for ulovlig fortjeneste.
Indbrudsvektor og udnyttelse
Kompromiskæden følger et konsekvent mønster, hvor den indledende indtrængen vektor involverer brugen af ​​useriøse Google Ads eller trafikretningssystemer (TDS) til at omdirigere potentielle ofre til et svigagtigt websted, der leverer en JavaScript-fil inficeret med malware.
Udvidelse og unikke funktioner
Asylum Ambuscades angreb inkorporerer også NODEBOT, en Node.js-version af AHK Bot. Denne variant bruges til at downloade plugins, der er ansvarlige for at tage skærmbilleder, indsamle adgangskoder, indsamle systemoplysninger og installere yderligere trojanske heste og stjæle. Gruppens aktiviteter overlapper også med en separat klynge kaldet Screentime, som retter sig mod virksomheder i USA og Tyskland med skræddersyet malware til at stjæle fortrolig information.