Μια ομάδα hacking με την επωνυμία “Asylum Ambuscade” έχει εντοπιστεί σε πρόσφατες επιθέσεις με στόχο μικρές και μεσαίες εταιρείες παγκοσμίως, συνδυάζοντας την κυβερνοκατασκοπεία με το κυβερνοέγκλημα.

Η συγκεκριμένη απειλητική ομάδα, η οποία πιστεύεται ότι λειτουργεί τουλάχιστον από το 2020, εντοπίστηκε για πρώτη φορά από την Proofpoint σε μια έκθεση του Μαρτίου 2021, η οποία επικεντρώθηκε σε μια εκστρατεία phishing κατά οντοτήτων που βοηθούσαν τη μετακίνηση των Ουκρανών προσφύγων.

Η ESET δημοσίευσε σήμερα μια νέα έκθεση, αποκαλύπτοντας περισσότερες λεπτομέρειες σχετικά με τις περσινές επιχειρήσεις Asylum Ambuscade και επισημαίνοντας ενημερώσεις σχετικά με τη θυματολογία και το σύνολο εργαλείων της.

Δείτε επίσης: Η ομάδα Royal ransomware έχει προσθέσει στο οπλοστάσιό της τον κρυπτογράφο BlackSuit

2023 καμπάνια

Η ομάδα Asylum Ambuscade συνήθως εξαπολύει τις επιθέσεις του με spear-phishing emails που αποστέλλονται στους στόχους, μεταφέροντας κακόβουλα συνημμένα έγγραφα που εκτελούν κακόβουλο κώδικα VBS, ενώ μετά τον Ιούνιο του 2022 θα χρησιμοποιηθεί ένα exploit για το CVE-2022-30190 (Follina).

Το exploit ξεκινά τη λήψη ενός MSI installer, ο οποίος αναπτύσσει το Sunseed malware της ομάδας – ένα πρόγραμμα λήψης που βασίζεται σε Lua και δημιουργεί και ένα αρχείο LNK στο φάκελο εκκίνησης των Windows για persistence.

Το Sunseed προμηθεύεται το ωφέλιμο φορτίο του επόμενου σταδίου, το Akhbot, από τον διακομιστή εντολών και ελέγχου και συνεχίζει να κάνει ping στον διακομιστή για να λάβει και να εκτελέσει πρόσθετο κώδικα Lua.

Η ομάδα Asylum Ambuscade διατηρεί ένα σχεδόν αινιγματικά ευρύ πεδίο στόχευσης το 2023, στοχεύοντας σε πελάτες τραπεζών, εμπόρους κρυπτονομισμάτων, κυβερνητικούς φορείς και διάφορες μικρομεσαίες επιχειρήσεις στη Βόρεια Αμερική, την Ευρώπη και την Κεντρική Ασία.

Δείτε επίσης: Η Barracuda λέει ότι οι παραβιασμένες συσκευές ESG πρέπει να αντικατασταθούν άμεσα

Η ESET εξηγεί ότι η τρέχουσα αλυσίδα μόλυνσης συνεχίζει να ακολουθεί την ίδια δομή όπως στις επιχειρήσεις από το 2022. Ωστόσο, οι αναλυτές ασφαλείας έχουν πλέον παρατηρήσει νέους compromise vectors, συμπεριλαμβανομένων κακόβουλων διαφημίσεων της Google που ανακατευθύνουν τους χρήστες σε ιστότοπους που εκτελούν κακόβουλο κώδικα JavaScript.

Επιπλέον, ο απειλητικός παράγοντας άρχισε να αναπτύσσει ένα νέο εργαλείο με την ονομασία “Nodebot” τον Μάρτιο του 2023, το οποίο φαίνεται να είναι η Node.js μεταφορά του Ahkbot.

Οι λειτουργίες του κακόβουλου λογισμικού συνεχίζουν να περιλαμβάνουν τη λήψη screenshot, το password exfiltration από τον Internet Explorer, τον Firefox και τα προγράμματα περιήγησης που βασίζονται στον Chromium και τη λήψη πρόσθετων πρόσθετων προγραμμάτων AutoHotkey στη συσκευή που έχει παραβιαστεί.

Το κακόβουλο λογισμικό φέρνει plugins που διαθέτουν συγκεκριμένες λειτουργίες, όπως η λήψη ενός Cobalt Strike loader με πακέτο VMProtect, η εγκατάσταση του Chrome για να φιλοξενήσει λειτουργίες hVNC, η εκκίνηση ενός keylogger, η ανάπτυξη ενός infostealer Rhadamanthys, η εκκίνηση ενός εμπορικά διαθέσιμου RAT και άλλα.

Η ESET έχει καταμετρήσει 4.500 θύματα από τότε που άρχισε να παρακολουθεί το Asylum Ambuscade τον Ιανουάριο του 2022, που αντιστοιχεί σε περίπου 265 θύματα ανά μήνα, καθιστώντας τους πολύ παραγωγικούς απειλητικούς φορείς και σοβαρή απειλή για οργανισμούς σε όλο τον κόσμο.

Ενώ οι απειλητικοί φορείς στοχεύουν σαφώς σε εμπόρους κρυπτονομισμάτων και τραπεζικούς λογαριασμούς για κέρδος, η παραβίαση οντοτήτων ΜΜΕ μπορεί να παραπέμπει σε κυβερνοκατασκοπεία.

Η απειλητική ομάδα μπορεί να πουλάει πρόσβαση στο δίκτυο αυτών των εταιρειών σε συνεργάτες ransomware με σκοπό το κέρδος. Ωστόσο, η ESET δεν έχει βρει στοιχεία που να υποστηρίζουν αυτή την υπόθεση.

Συμπερασματικά, οι συγκεκριμένοι επιχειρησιακοί στόχοι του Asylum Ambuscade παραμένουν ασαφείς.

Πηγή πληροφοριών: bleepingcompyter.com