بازیگر تهدیدی معروف به Asylum Ambuscade از اوایل سال ۲۰۲۰ مشاهده شده است که درگیر جرایم سایبری و عملیات جاسوسی سایبری است.
ESET در تحلیلی که روز پنجشنبه ۸ ژوئن ۲۰۲۳ منتشر شد، گفت[۱]: «این یک گروه crimeware است که مشتریان بانکها و معاملهگران ارزهای دیجیتال را در مناطق مختلف از جمله آمریکای شمالی و اروپا هدف قرار میدهد. Ambuscade همچنین علیه نهادهای دولتی در اروپا و آسیای مرکزی جاسوسی میکند.»
Asylum Ambuscade برای اولینبار توسط Proofpoint در مارس ۲۰۲۲ بهعنوان یک کمپین فیشینگ تحت حمایت دولت که نهادهای دولتی اروپایی را در تلاش برای بهدستآوردن اطلاعات در مورد جابهجایی پناهجویان و تدارکات در منطقه هدف قرار داد، ثبت شد[۲].
هدف مهاجمان، به گفته این شرکت امنیت سایبری اسلواکی، جمعآوری اطلاعات محرمانه و اعتبارنامههای ایمیل از پورتالهای ایمیل رسمی دولتی است.
حملات با یک ایمیل spear-phishing حاوی یک پیوست مخرب صفحه گسترده اکسل آغاز میشود که پس از باز شدن، از کد VBA یا آسیبپذیری Follina (CVE-2022-30190) برای دانلود بسته MSI از یک سرور راه دور بهرهبرداری میکند[۳].
این نصبکننده، به نوبه خود، یک دانلودر نوشته شده به زبان Lua به نام SunSeed (معادل ویژوال بیسیک اسکریپت آن) را مستقر میکند که به نوبه خود، یک بدافزار مبتنی بر AutoHotkey معروف به AHK Bot را از یک سرور راه دور بازیابی میکند.
نکته قابلتوجه در مورد Asylum Ambuscade، جنایات سایبری آن است که از ژانویه ۲۰۲۲ تاکنون بیش از ۴۵۰۰ قربانی در سراسر جهان گرفته است که اکثریت آنها در آمریکای شمالی، آسیا، آفریقا، اروپا و آمریکای جنوبی قرار دارند.
Matthieu Faou، محقق ESET در این باره گفت: «هدفگیری بسیار گسترده است و بیشتر شامل افراد، معاملهگران ارزهای دیجیتال، و کسبوکارهای کوچک و متوسط (SMB) در verticalهای مختلف میشود.»
درحالیکه یکی از جنبههای این حملات برای سرقت ارزهای دیجیتال طراحی شده است، هدف قراردادن SMBها احتمالاً تلاشی برای کسب درآمد از دسترسی با فروش آن به سایر گروههای مجرم سایبری برای سودهای غیرقانونی است.
زنجیره سازش از الگوی مشابهی پیروی میکند که بردار نفوذ اولیه را ممنوع میکند که مستلزم استفاده از یک تبلیغات گوگل یا یک سیستم هدایت ترافیک (TDS) برای هدایت قربانیان احتمالی به یک وبسایت جعلی است که یک فایل جاوا اسکریپت حاوی بدافزار را ارائه میدهد.
این حملات همچنین از نسخه Node.js AHK Bot با نام رمز NODEBOT استفاده کردهاند که سپس برای دانلود افزونههایی که مسئول گرفتن اسکرینشات، غارت رمزهای عبور، جمعآوری اطلاعات سیستم و نصب تروجانها و stealerها هستند، استفاده میشود.
باتوجهبه زنجیرههای حمله تقریباً یکسانی که در جرایم سایبری و تلاشهای جاسوسی وجود دارد، گمان میرود که “Asylum Ambuscade یک گروه جنایت سایبری است که جاسوسی سایبری را در کنار خود انجام میدهد.”
این همپوشانیها همچنین به مجموعه فعالیت دیگری به نام Screentime نیز گسترش مییابد[۴] که برای هدف قراردادن شرکتها در ایالات متحده و آلمان با بدافزار سفارشی طراحی شده برای سرقت اطلاعات محرمانه، شناخته شده است. Proofpoint این عامل تهدید را تحت نام TA866 ردیابی میکند.
این موضوع تا حدودی در چشماندازهای تهدید مشابه نادر است و Faou در این باره گفت: «درککردن یک گروه جنایت سایبری که عملیات اختصاصی جاسوسی سایبری را انجام میدهند کاملاً غیرعادی است».
منابع
[۱] https://www.welivesecurity.com/2023/06/08/asylum-ambuscade-crimeware-or-cyberespionage
[۲] https://thehackernews.com/2022/03/hackers-try-to-hack-european-officials.html
[۳] https://apa.aut.ac.ir/?p=9657
[۴] https://thehackernews.com/2023/02/hackers-targeting-us-and-german-firms.html
[۵] https://thehackernews.com/2023/06/asylum-ambuscade-cybercrime-group-with.html
ثبت ديدگاه