ESET Research analyseert cybercrime groepering Asylum Ambuscade
ESET Research heeft zijn analyse vrijgegeven van Asylum Ambuscade, een cybercriminele groep die zich bezighoudt met cyberspionage. De groep voert al vanaf 2020 cyberespionagecampagnes uit. ESET vond eerdere compromissen van overheidsfunctionarissen en medewerkers van staatsbedrijven in Centraal-Aziatische landen en Armenië.
In 2022 richtte de groep zich vermoedelijk op overheidsfunctionarissen in verschillende Europese landen die grenzen aan Oekraïne. ESET Research schat in dat het doel van de aanvallers was om vertrouwelijke informatie en webmailreferenties te stelen van officiële webmailportals van de overheid. Asylum Ambuscade richt zich meestal op kleine en middelgrote bedrijven (MKB) en individuen in Noord-Amerika en Europa.
"Het lijkt erop dat Asylum Ambuscade zich aan het uitbreiden is en een aantal recente cyberspionagecampagnes uitvoert tegen overheden in Centraal-Azië en Europa. Het is vrij ongebruikelijk om een cybercriminele groep te betrappen op het uitvoeren van specifieke cyberspionage-operaties, en daarom geloven we dat onderzoekers de activiteiten van de groep nauwlettend in de gaten moeten houden," legt ESET-onderzoeker Matthieu Faou uit, die de activiteiten van de groep onderzocht.
In 2022, toen de groep het voorzien had op overheidsfunctionarissen in verschillende Europese landen die grenzen aan Oekraïne, begon de aanvalsketen met een spearphishing e-mail met een schadelijke Excel spreadsheet of Word document bijlage. Als de machine interessant werd bevonden, gebruikten de aanvallers uiteindelijk AHKBOT, een download-tool die kan worden uitgebreid met plugins om de machine van het slachtoffer te bespioneren. Deze plugins bieden verschillende mogelijkheden, waaronder het maken van schermafbeeldingen, het opnemen van toetsaanslagen, het stelen van wachtwoorden van webbrowsers, het downloaden van bestanden en het uitvoeren van een informatiesteler.
Hoewel de groep in de schijnwerpers kwam te staan vanwege zijn cyberspionage-operaties, heeft hij sinds begin 2020 vooral cybercrime-campagnes gevoerd. Sinds januari 2022 heeft ESET Research wereldwijd meer dan 4.500 slachtoffers geteld. De meeste slachtoffers bevinden zich in Noord-Amerika, maar er zijn ook slachtoffers in Azië, Afrika, Europa en Zuid-Amerika. Het doelwit is zeer breed en omvat voornamelijk particulieren, handelaren in cryptocurrency, bankklanten en MKB's in verschillende sectoren.
"De crimeware compromitteringsketen van Asylum Ambuscade lijkt in grote lijnen op die van hun cyberspionage campagnes. Het belangrijkste verschil is de compromitteringsvector, die een schadelijke Google-advertentie kan zijn die doorverwijst naar een website met een schadelijk JavaScript-bestand of meerdere HTTP-omleidingen," voegt Faou toe.
Voor meer technische informatie over Asylum Ambuscade, bekijk de blogpost "Asylum Ambuscade - A curious case of a threat actor at the border between crimeware and cyberespionage" op WeLiveSecurity. Volg ESET Research op Twitter voor het laatste nieuws van ESET Research.
Meer over Security
Over Witold Kepinski
