Um grupo de hackers conhecido como 'Asylum Ambuscade' foi observado em ataques recentes direcionados a empresas de pequeno e médio porte em todo o mundo, combinando espionagem cibernética com cibercrime.
O grupo de ameaças em particular, acredita-se que esteja operacional desde pelo menos 2020, foi identificado pela primeira vez pela Proofpoint em um relatório de março de 2022 que se concentrou em uma campanha de phishing contra entidades que ajudam o movimento de refugiados ucranianos.
A ESET publicou um novo relatório sobre o ator hoje, divulgando mais detalhes sobre as operações do Asylum Ambuscade no ano passado e destacando atualizações em sua victimologia e conjunto de ferramentas.
O Asylum Ambuscade normalmente lança seus ataques com e-mails de spear-phishing enviados para alvos, contendo anexos de documentos maliciosos que executam código VBS malicioso e, após junho de 2022, uma exploração para
CVE-2022-30190
(Follina).
A exploração inicia o download de um instalador MSI que implanta o malware Sunseed do grupo, um downloader baseado em Lua que também gera um arquivo LNK na pasta de inicialização do Windows para persistência.
O Sunseed adquire o payload de próximo estágio, Akhbot, do servidor de comando e controle e continua a enviar pings para o servidor para receber e executar código Lua adicional.
O Asylum Ambuscade mantém um escopo de direcionamento quase perplexamente amplo em 2023, visando clientes bancários, traders de criptomoedas, entidades governamentais e vários pequenos e médios negócios em toda a América do Norte, Europa e Ásia Central.
A ESET explica que a cadeia de infecção atual continua seguindo a mesma estrutura das operações de 2022.
No entanto, os analistas de segurança agora notaram novos vetores de comprometimento, incluindo anúncios do Google maliciosos que redirecionam os usuários para sites que executam código JavaScript malicioso.
Além disso, o ator de ameaça começou a implantar uma nova ferramenta chamada "Nodebot" em março de 2023, que aparentemente é a porta Node.js do Ahkbot.
A função do malware continua a incluir a captura de tela, a exfiltração de senhas do Internet Explorer, Firefox e navegadores baseados no Chromium e a obtenção de plugins adicionais do AutoHotkey no dispositivo comprometido.
Os plugins buscados pelo malware apresentam funcionalidades específicas, como o download de um loader Cobalt Strike empacotado em VMProtect, a instalação do Chrome para acomodar operações hVNC, a inicialização de um keylogger, o implante de um infostealer Rhadamanthys, o lançamento de um RAT disponível comercialmente e muito mais.
A ESET contou 4.500 vítimas desde que começou a rastrear o Asylum Ambuscade em janeiro de 2022, o que equivale a cerca de 265 vítimas por mês, tornando este um ator de ameaça muito prolífico e uma ameaça grave para as organizações em todo o mundo.
Embora os atores de ameaças claramente visem traders de criptomoedas e contas bancárias por lucro, o comprometimento de entidades SMB pode apontar para espionagem cibernética.
O grupo de ameaças pode estar vendendo acesso à rede dessas empresas para afiliados de ransomware em busca de lucro.
No entanto, a ESET não encontrou evidências que apoiem essa hipótese.
Em conclusão, os objetivos operacionais específicos do Asylum Ambuscade permanecem obscuros.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...