Asylum Ambuscade: Un grupo de cibercrimen con ambiciones de espionaje

El actor de amenazas conocido como Asylum Ambuscade ha sido observado a caballo entre las operaciones de cibercrimen y ciberespionaje desde al menos principios de 2020.

"Es un grupo de crimeware que se dirige a clientes bancarios y comerciantes de criptomonedas en varias regiones, incluidas América del Norte y Europa", dijo ESET en un análisis publicado el jueves. "Asylum Ambuscade también hace espionaje contra entidades gubernamentales en Europa y Asia Central".

Asylum Ambuscade fue documentado por primera vez por Proofpoint en marzo de 2022 como una campaña de phishing patrocinada por el estado-nación que se dirigió a entidades gubernamentales europeas en un intento de obtener inteligencia sobre el movimiento de refugiados y suministros en la región.

El objetivo de los atacantes, según la firma eslovaca de ciberseguridad, es desviar información confidencial y credenciales de correo electrónico web de los portales oficiales de correo electrónico del gobierno.

Los ataques comienzan con un correo electrónico de spear-phishing con un archivo adjunto malicioso de hoja de cálculo de Excel que, cuando se abre, explota el código VBA o la vulnerabilidad Follina (CVE-2022-30190) para descargar un paquete MSI desde un servidor remoto.

El instalador, por su parte, despliega un descargador escrito en Lua llamado SunSeed (o su equivalente Visual Basic Script) que, a su vez, recupera un malware basado en AutoHotkey conocido como AHK Bot de un servidor remoto.

Lo notable de Asylum Ambuscade es su ola de delitos cibernéticos que se ha cobrado más de 4,500 víctimas en todo el mundo desde enero de 2022, con la mayoría de ellas ubicadas en América del Norte, Asia, África, Europa y América del Sur.


"La orientación es muy amplia e incluye principalmente individuos, comerciantes de criptomonedas y pequeñas y medianas empresas (PYMES) en varias verticales", dijo el investigador de ESET, Matthieu Faou.

Si bien un aspecto de los ataques está diseñado para robar criptomonedas, es probable que la orientación de las pymes sea un intento de monetizar el acceso vendiéndolo a otros grupos cibercriminales para obtener ganancias ilícitas.

La cadena de compromiso sigue un patrón similar que excluye el vector de intrusión inicial, que implica el uso de un anuncio de Google deshonesto o un sistema de dirección de tráfico (TDS) para redirigir a las víctimas potenciales a un sitio web falso que entrega un archivo JavaScript con malware.

Los ataques también han hecho uso de una versión Node.js de AHK Bot con nombre en código NODEBOT que luego se utiliza para descargar complementos responsables de tomar capturas de pantalla, saquear contraseñas, recopilar información del sistema e instalar troyanos y ladrones adicionales.

Dadas las cadenas de ataque casi idénticas a través de los esfuerzos de cibercrimen y espionaje, se sospecha que "Asylum Ambuscade es un grupo de cibercrimen que está haciendo algo de ciberespionaje en el lado".

Las superposiciones también se extienden a otro grupo de actividades denominado Screentime que se sabe que se dirige a empresas en los Estados Unidos y Alemania con malware a medida diseñado para robar información confidencial. Proofpoint está rastreando al actor de amenazas bajo el nombre TA866.

"Es bastante inusual atrapar a un grupo de cibercrimen que ejecuta operaciones dedicadas al ciberespionaje", dijo Faou, lo que lo convierte en una rareza en el panorama de amenazas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta