Хакерская группа Asylum Ambuscade успешно сочетает финансовую мотивацию с кибершпионажем

Группировка злоумышленников, известная как Asylum Ambuscade, занимается кибершпионажем и киберпреступностью, атакуя малые и средние компании по всему миру. Эта группа действует с 2020 года и была впервые обнаружена компанией Proofpoint в марте 2022 года.

По новым данным ESET, группировка Asylum Ambuscade в своих последних кампаниях использует специализированные фишинговые письма с вредоносными документами, которые запускают зловредный VBScript -код и эксплойт для уязвимости CVE-2022-30190 . Эксплуатация приводит к установке вредоносной программы Sunseed, которая загружает вторичный модуль Akhbot с C2-сервера злоумышленников.

В 2023 году Asylum Ambuscade расширила свою целевую аудиторию, атакуя клиентов банков, трейдеров криптовалют, правительственные органы и различные малые и средние бизнесы в Северной Америке, Европе и Центральной Азии.

ESET отмечает, что хакеры также используют новые векторы компрометации, включая вредоносную рекламу Google, которая перенаправляет пользователей на сайты с вредоносным JavaScript -кодом. Кроме того, с марта 2023 года хакеры начали применять новый инструмент Nodebot, который является портом Ahkbot на Node.js .

Вредоносная программа может делать скриншоты, вытаскивать пароли из браузеров Internet Explorer, Firefox и Chromium, а также загружать дополнительные плагины AutoHotkey на зараженное устройство. Эти плагины имеют различную функциональность, такую как загрузка Cobalt Strike , установка Chrome для hVNC , запуск кейлоггера, развёртывание инфостилера Rhadamanthys, запуск коммерчески доступного RAT и другое.

По оценкам ESET, Asylum Ambuscade заразила около 4500 жертв с января 2022 года, что составляет примерно 265 жертв в месяц. Это делает данную группу весьма серьезной угрозой для организаций по всему миру.

Цели и мотивы Asylum Ambuscade пока остаются неясными. Хотя хакеры явно нацелены на криптовалюты и банковские счета для получения прибыли, заражение SMB-компаний может также указывать на кибершпионаж.

Возможно, хакеры продают доступ к сетям этих компаний другим киберпреступникам для внедрения, например, вымогательского софта, однако ESET не нашла никаких доказательств этой гипотезы.