O grupo de hackers normalmente lança seus ataques com e-mails de spear phishing enviados aos alvos, carregando anexos de documentos maliciosos que executam código VBS malicioso.
Um grupo de hackers identificado como Asylum Ambuscade foi observado em ataques recentes direcionados a pequenas e médias empresas em todo o mundo, combinando espionagem cibernética com crime cibernético. O grupo, que se acredita estar operacional desde ao menos 2020, foi identificado pela primeira vez pela Proofpoint em um relatório de março do ano passado, que se concentrou em uma campanha de phishing contra entidades que auxiliam o movimento de refugiados ucranianos.
A ESET publicou um novo relatório sobre o grupo, revelando mais detalhes sobre as operações do Asylum Ambuscade no ano passado e destacando atualizações em sua “vitimologia” e conjunto de ferramentas.
O Asylum Ambuscade normalmente lança seus ataques com e-mails de spear phishing enviados aos alvos, carregando anexos de documentos maliciosos que executam código VBS malicioso e, após junho de 2022, um exploit para o CVE-2022-30190 (Follina). A exploração inicia o download de um instalador do Windows (MSI) que implanta o malware Sunseed do grupo, um downloader baseado na linguagem de programação Lua que também gera um arquivo LNK na pasta de inicialização do Windows para persistência.
O Asylum Ambuscade mantém um escopo de segmentação amplo neste ano, visando clientes bancários, comerciantes de criptomoedas, entidades governamentais e várias pequenas e médias empresas na América do Norte, Europa e Ásia Central.
A ESET explica que a atual cadeia de infecção continua seguindo a mesma estrutura das operações de 2022. No entanto, os analistas de segurança da empresa agora notaram novos vetores de comprometimento, incluindo anúncios maliciosos do Google que redirecionam os usuários para sites que executam código JavaScript malicioso. Além disso, o operador da ameaça começou a implantar uma nova ferramenta chamada “Nodebot” em março, que parece ser a porta Node.js do Ahkbot.
A função do malware continua a incluir captura de tela, exfiltração de senha do Internet Explorer, Firefox e navegadores baseados no Chromium e busca de plug-ins AutoHotkey adicionais no dispositivo violado. Os plug-ins obtidos pelo malware têm funcionalidades específicas, como baixar um carregador Cobalt Strike compactado com VMProtect, instalar o Chrome para acomodar operações hVNC, iniciar um keylogger, implantar um infostealer Rhadamanthys, iniciar um RAT disponível comercialmente e muito mais.
A ESET contabilizou 4.500 vítimas desde que começou a rastrear o Asylum Ambuscade em janeiro de 2022, o que equivale a cerca de 265 vítimas/mês, o que o torna um operador de ameaças muito prolífico e uma ameaça grave para organizações em todo o mundo. O grupo pode estar vendendo acesso à rede dessas empresas para afiliados de ransomware com fins lucrativos. No entanto, a ESET não encontrou evidências que apoiem essa hipótese.