Хакерская группа Asylum Ambuscade успешно сочетает финансовую мотивацию с кибершпионажем

[Artifact]

Киберпреступники используют в своих атаках VBScript-сценарии, а также целый набор вредоносных программ и полезных нагрузок.

Группировка злоумышленников, известная как Asylum Ambuscade, занимается кибершпионажем и киберпреступностью, атакуя малые и средние компании по всему миру. Эта группа действует с 2020 года и была впервые обнаружена компанией Proofpoint в марте 2022 года.
По новым данным ESET, группировка Asylum Ambuscade в своих последних кампаниях использует специализированные фишинговые письма с вредоносными документами, которые запускают зловредный VBScript-код и эксплойт для уязвимости CVE-2022-30190 . Эксплуатация приводит к установке вредоносной программы Sunseed, которая загружает вторичный модуль Akhbot с C2-сервера злоумышленников.
В 2023 году Asylum Ambuscade расширила свою целевую аудиторию, атакуя клиентов банков, трейдеров криптовалют, правительственные органы и различные малые и средние бизнесы в Северной Америке, Европе и Центральной Азии.
ESET отмечает, что хакеры также используют новые векторы компрометации, включая вредоносную рекламу Google, которая перенаправляет пользователей на сайты с вредоносным JavaScript-кодом. Кроме того, с марта 2023 года хакеры начали применять новый инструмент Nodebot, который является портом Ahkbot на Node.js.
Вредоносная программа может делать скриншоты, вытаскивать пароли из браузеров Internet Explorer, Firefox и Chromium, а также загружать дополнительные плагины AutoHotkey на зараженное устройство. Эти плагины имеют различную функциональность, такую как загрузка Cobalt Strike, установка Chrome для hVNC, запуск кейлоггера, развёртывание инфостилера Rhadamanthys, запуск коммерчески доступного RAT и другое.
По оценкам ESET, Asylum Ambuscade заразила около 4500 жертв с января 2022 года, что составляет примерно 265 жертв в месяц. Это делает данную группу весьма серьезной угрозой для организаций по всему миру.
Цели и мотивы Asylum Ambuscade пока остаются неясными. Хотя хакеры явно нацелены на криптовалюты и банковские счета для получения прибыли, заражение SMB-компаний может также указывать на кибершпионаж.
Возможно, хакеры продают доступ к сетям этих компаний другим киберпреступникам для внедрения, например, вымогательского софта, однако ESET не нашла никаких доказательств этой гипотезы.