Un groupe de piratage qualifié d' »Asylum Embuscade » a été observé lors d’attaques récentes ciblant des petites et moyennes entreprises dans le monde entier, combinant cyberespionnage et cybercriminalité.
Le groupe de menaces particulier, qui serait opérationnel depuis au moins 2020, a été identifié pour la première fois par Proofpoint dans un rapport de mars 2022 qui se concentrait sur une campagne de phishing contre des entités aidant le mouvement des réfugiés ukrainiens.
ESET a publié aujourd’hui un nouveau rapport sur l’acteur, divulguant plus de détails sur les opérations Asylum Embuscade de l’année dernière et mettant en évidence des mises à jour sur sa victimologie et son ensemble d’outils.
campagne 2023
Asylum Ambuscade lance généralement ses attaques avec des e-mails de harponnage envoyés aux cibles, contenant des pièces jointes de documents malveillants qui exécutent du code VBS malveillant, et après juin 2022, un exploit pour CVE-2022-30190 (Follina).
L’exploit lance le téléchargement d’un programme d’installation MSI qui déploie le logiciel malveillant Sunseed du groupe, un téléchargeur basé sur Lua qui génère également un fichier LNK dans le dossier de démarrage de Windows pour la persistance.
Sunseed se procure la charge utile de l’étape suivante, Akhbot, auprès du serveur de commande et de contrôle et continue d’envoyer un ping au serveur pour recevoir et exécuter du code Lua supplémentaire.
Asylum Ambuscade maintient une portée de ciblage presque étonnamment large en 2023, ciblant les clients des banques, les commerçants de crypto-monnaie, les entités gouvernementales et diverses petites et moyennes entreprises en Amérique du Nord, en Europe et en Asie centrale.
ESET explique que la chaîne d’infection actuelle continue de suivre la même structure que lors des opérations de 2022. Cependant, les analystes en sécurité ont maintenant remarqué de nouveaux vecteurs de compromission, notamment des annonces Google malveillantes qui redirigent les utilisateurs vers des sites exécutant du code JavaScript malveillant.
De plus, l’acteur menaçant a commencé à déployer un nouvel outil nommé « Nodebot » en mars 2023, qui semble être le port Node.js d’Ahkbot.
La fonction du logiciel malveillant continue d’inclure la capture d’écran, l’exfiltration de mot de passe à partir d’Internet Explorer, de Firefox et des navigateurs basés sur Chromium, et la récupération de plug-ins AutoHotkey supplémentaires sur l’appareil piraté.
Les plugins récupérés par le logiciel malveillant présentent des fonctionnalités spécifiques telles que le téléchargement d’un chargeur Cobalt Strike VMProtect, l’installation de Chrome pour prendre en charge les opérations hVNC, le démarrage d’un enregistreur de frappe, le déploiement d’un infostealer Rhadamanthys, le lancement d’un RAT disponible dans le commerce, etc.
ESET a dénombré 4 500 victimes depuis qu’il a commencé à suivre Asylum Embuscade en janvier 2022, ce qui équivaut à environ 265 victimes/mois, ce qui en fait un acteur très prolifique et une grave menace pour les organisations du monde entier.
Alors que les acteurs de la menace ciblent clairement les commerçants de crypto-monnaie et les comptes bancaires à des fins lucratives, la compromission des entités SMB pourrait indiquer un cyberespionnage.
Le groupe de menaces peut vendre l’accès au réseau de ces sociétés à des affiliés de rançongiciels à des fins lucratives. Cependant, ESET n’a trouvé aucune preuve à l’appui de cette hypothèse.
En conclusion, les objectifs opérationnels spécifiques d’Asylum Ambuscade restent flous.