Asylum Ambuscadeبازیگر تهدیدی معروف به Asylum Ambuscade از اوایل سال ۲۰۲۰ مشاهده شده است که درگیر جرایم سایبری و عملیات جاسوسی سایبری است.

ESET در تحلیلی که روز پنجشنبه ۸ ژوئن ۲۰۲۳ منتشر شد، گفت[۱]: «این یک گروه crimeware است که مشتریان بانک‌ها و معامله‌گران ارزهای دیجیتال را در مناطق مختلف از جمله آمریکای شمالی و اروپا هدف قرار می‌دهد. Ambuscade همچنین علیه نهادهای دولتی در اروپا و آسیای مرکزی جاسوسی می‌کند.»

Asylum Ambuscade برای اولین‌بار توسط Proofpoint در مارس ۲۰۲۲ به‌عنوان یک کمپین فیشینگ تحت حمایت دولت که نهادهای دولتی اروپایی را در تلاش برای به‌دست‌آوردن اطلاعات در مورد جابه‌جایی پناه‌جویان و تدارکات در منطقه هدف قرار داد، ثبت شد[۲].

هدف مهاجمان، به گفته این شرکت امنیت سایبری اسلواکی، جمع‌آوری اطلاعات محرمانه و اعتبارنامه‌های ایمیل از پورتال‌های ایمیل رسمی دولتی است.

حملات با یک ایمیل spear-phishing حاوی یک پیوست مخرب صفحه گسترده اکسل آغاز می‌شود که پس از باز شدن، از کد VBA یا آسیب‌پذیری Follina (CVE-2022-30190) برای دانلود بسته MSI از یک سرور راه دور بهره‌برداری می‌کند[۳].

این نصب‌کننده، به نوبه خود، یک دانلودر نوشته شده به زبان Lua به نام SunSeed (معادل ویژوال بیسیک اسکریپت آن) را مستقر می‌کند که به نوبه خود، یک بدافزار مبتنی بر AutoHotkey معروف به AHK Bot را از یک سرور راه دور بازیابی می‌کند.

نکته قابل‌توجه در مورد Asylum Ambuscade، جنایات سایبری آن است که از ژانویه ۲۰۲۲ تاکنون بیش از ۴۵۰۰ قربانی در سراسر جهان گرفته است که اکثریت آنها در آمریکای شمالی، آسیا، آفریقا، اروپا و آمریکای جنوبی قرار دارند.

Matthieu Faou، محقق ESET در این باره گفت: «هدف‌گیری بسیار گسترده است و بیشتر شامل افراد، معامله‌گران ارزهای دیجیتال، و کسب‌وکارهای کوچک و متوسط (SMB) در verticalهای مختلف می‌شود.»

درحالی‌که یکی از جنبه‌های این حملات برای سرقت ارزهای دیجیتال طراحی شده است، هدف قراردادن SMBها احتمالاً تلاشی برای کسب درآمد از دسترسی با فروش آن به سایر گروه‌های مجرم سایبری برای سودهای غیرقانونی است.

زنجیره سازش از الگوی مشابهی پیروی می‌کند که بردار نفوذ اولیه را ممنوع می‌کند که مستلزم استفاده از یک تبلیغات گوگل یا یک سیستم هدایت ترافیک (TDS) برای هدایت قربانیان احتمالی به یک وب‌سایت جعلی است که یک فایل جاوا اسکریپت حاوی بدافزار را ارائه می‌دهد.

این حملات همچنین از نسخه Node.js AHK Bot با نام رمز NODEBOT استفاده کرده‌اند که سپس برای دانلود افزونه‌هایی که مسئول گرفتن اسکرین‌شات، غارت رمزهای عبور، جمع‌آوری اطلاعات سیستم و نصب تروجان‌ها و stealerها هستند، استفاده می‌شود.

باتوجه‌به زنجیره‌های حمله تقریباً یکسانی که در جرایم سایبری و تلاش‌های جاسوسی وجود دارد، گمان می‌رود که “Asylum Ambuscade یک گروه جنایت سایبری است که جاسوسی سایبری را در کنار خود انجام می‌دهد.”

این همپوشانی‌ها همچنین به مجموعه فعالیت دیگری به نام Screentime نیز گسترش می‌یابد[۴] که برای هدف قراردادن شرکت‌ها در ایالات متحده و آلمان با بدافزار سفارشی طراحی شده برای سرقت اطلاعات محرمانه، شناخته شده است. Proofpoint این عامل تهدید را تحت نام TA866 ردیابی می‌کند.

این موضوع تا حدودی در چشم‌اندازهای تهدید مشابه نادر است و Faou در این باره گفت: «درک‌کردن یک گروه جنایت سایبری که عملیات اختصاصی جاسوسی سایبری را انجام می‌دهند کاملاً غیرعادی است».

 

منابع

[۱] https://www.welivesecurity.com/2023/06/08/asylum-ambuscade-crimeware-or-cyberespionage

[۲] https://thehackernews.com/2022/03/hackers-try-to-hack-european-officials.html

[۳] https://apa.aut.ac.ir/?p=9657

[۴] https://thehackernews.com/2023/02/hackers-targeting-us-and-german-firms.html

[۵] https://thehackernews.com/2023/06/asylum-ambuscade-cybercrime-group-with.html