L’acteur menaçant connu sous le nom de Embuscade d’asile a été observée à cheval sur des opérations de cybercriminalité et de cyberespionnage depuis au moins début 2020.
« Il s’agit d’un groupe de logiciels criminels qui cible les clients des banques et les commerçants de crypto-monnaie dans diverses régions, y compris l’Amérique du Nord et l’Europe », a déclaré ESET. a dit dans une analyse publiée jeudi. « Asylum Ambuscade fait également de l’espionnage contre des entités gouvernementales en Europe et en Asie centrale. »
Asylum Ambuscade a été documenté pour la première fois par Proofpoint en mars 2022 comme une campagne de phishing parrainée par un État-nation qui ciblait des entités gouvernementales européennes dans le but d’obtenir des renseignements sur les mouvements de réfugiés et d’approvisionnement dans la région.
L’objectif des attaquants, selon la société slovaque de cybersécurité, est de siphonner les informations confidentielles et les identifiants de messagerie Web des portails de messagerie officiels du gouvernement.
Les attaques commencent par un e-mail de harponnage contenant une pièce jointe de feuille de calcul Excel malveillante qui, lorsqu’elle est ouverte, exploite soit le code VBA, soit la vulnérabilité Follina (CVE-2022-30190) pour télécharger un package MSI à partir d’un serveur distant.
Le programme d’installation, pour sa part, déploie un téléchargeur écrit en Lua appelé SunSeed (ou son équivalent Visual Basic Script) qui, à son tour, récupère un malware basé sur AutoHotkey connu sous le nom de AHK Bot à partir d’un serveur distant.
Ce qui est remarquable à propos d’Asylum Ambuscade, c’est sa frénésie de cybercriminalité qui a fait plus de 4 500 victimes à travers le monde depuis janvier 2022, dont la majorité se trouve en Amérique du Nord, en Asie, en Afrique, en Europe et en Amérique du Sud.
« Le ciblage est très large et comprend principalement des particuliers, des commerçants de crypto-monnaie et des petites et moyennes entreprises (PME) dans divers secteurs verticaux », a déclaré Matthieu Faou, chercheur chez ESET.
Alors qu’un aspect des attaques est conçu pour voler la crypto-monnaie, le ciblage des PME est probablement une tentative de monétiser l’accès en le vendant à d’autres groupes cybercriminels pour des profits illicites.
La chaîne de compromis suit un schéma similaire à l’exception du vecteur d’intrusion initial, qui implique l’utilisation d’une annonce Google malveillante ou d’un système de direction du trafic (TDS) pour rediriger les victimes potentielles vers un faux site Web fournissant un fichier JavaScript contenant des logiciels malveillants.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Les attaques ont également utilisé une version Node.js d’AHK Bot nommée NODEBOT qui est ensuite utilisée pour télécharger des plugins chargés de prendre des captures d’écran, de piller les mots de passe, de collecter des informations système et d’installer des chevaux de Troie et des voleurs supplémentaires.
Compte tenu des chaînes d’attaque presque identiques dans les efforts de cybercriminalité et d’espionnage, on soupçonne que « Asylum Ambuscade est un groupe de cybercriminalité qui fait du cyberespionnage en parallèle ».
Les chevauchements s’étendent également à un autre cluster d’activités appelé Screentime, connu pour cibler des entreprises aux États-Unis et en Allemagne avec des logiciels malveillants sur mesure conçus pour voler des informations confidentielles. Proofpoint suit l’auteur de la menace sous le nom de TA866.
« Il est assez inhabituel d’attraper un groupe de cybercriminalité exécutant des opérations de cyberespionnage dédiées », a déclaré Faou, ce qui en fait une rareté dans le paysage des menaces.