Vandaag geeft ESET Research zijn analyse vrij over Asylum Ambuscade, een cybercriminele groep die ook, sinds minstens 2020, aan cyberspionage doet. In 2022 zou de groep zich ook gericht hebben op overheidsfunctionarissen in verschillende Europese landen die grenzen aan Oekraïne. Het onderzoek van ESET stelt vast dat het doel van de aanvallers het stelen was van vertrouwelijke informatie en webmailreferenties van officiële webmailportalen van de overheid. Asylum Ambuscade richt zich ook op KMO’s en individuen in Noord-Amerika en Europa.
· Asylum Ambuscade is al sinds 2020 actief.
· Het is een crimewaregroep gericht op individuen, KMO’s, bankklanten en handel in cryptocurrency in verschillende regio’s, waaronder Noord-Amerika en Europa.
· Asylum Ambuscade bespioneert ook overheidsinstanties in Europa en Centraal-Azië: in 2022 zou de groep zich gericht hebben op overheidsfunctionarissen in verschillende Europese landen die grenzen aan Oekraïne.
BRATISLAVA, MONTREAL — 8 juni 2023 — Vandaag geeft ESET Research zijn analyse vrij over Asylum Ambuscade, een cybercriminele groep die ook, sinds minstens 2020, aan cyberspionage doet. ESET vond eerdere gecompromitteerde overheidsfunctionarissen en werknemers van staatsbedrijven in Centraal-Aziatische landen en Armenië. In 2022 zou de groep zich ook gericht hebben op overheidsfunctionarissen in verschillende Europese landen die grenzen aan Oekraïne. Het onderzoek van ESET stelt vast dat het doel van de aanvallers het stelen was van vertrouwelijke informatie en webmailreferenties van officiële webmailportalen van de overheid. Asylum Ambuscade richt zich ook op KMO’s en individuen in Noord-Amerika en Europa.
“Het lijkt erop dat Asylum Ambuscade zich uitbreidt en af en toe enkele recente cyberspionagecampagnes uitvoerde tegen regeringen in Centraal-Azië en Europa. Het is vrij ongebruikelijk een cybercriminaliteitsgroep te betrappen op het uitvoeren van speciale cyberspionage daden, en daarom denken we dat onderzoekers hun activiteiten nauwlettend moeten volgen”, zegt ESET-onderzoeker Matthieu Faou, die de activiteiten van de groep onderzocht.
In 2022, toen de groep zich op overheidsfunctionarissen richtte in verschillende Europese landen grenzend aan Oekraïne, begon de compromisketen met een spearphishing-e-mail waarin een kwaadaardige Excel-spreadsheet of Word-documentbijlage zat. Werd de machine interessant geacht, dan gingen de aanvallers uiteindelijk AHKBOT inzetten, een downloader die kan uitgebreid worden met plug-ins om de machine van het slachtoffer te bespioneren. Deze plug-ins bieden verschillende mogelijkheden, zoals het maken van schermafbeeldingen, het opnemen van toetsaanslagen, het stelen van wachtwoorden van webbrowsers, het downloaden van bestanden en het uitvoeren van een infostealer.
Hoewel de groep in de schijnwerpers stond wegens zijn cyberspionage-operaties, voerde het sinds begin 2020 voornamelijk cybercriminaliteitscampagnes. Sinds januari 2022 telde ESET Research wereldwijd meer dan 4.500 slachtoffers. Hoewel de meeste zich in Noord-Amerika bevinden, werden ook slachtoffers gevonden in Azië, Afrika, Europa en Zuid-Amerika. Hun doelwit is zeer breed en omvat voornamelijk individuen, handelaars in cryptocurrency, bankklanten en KMO’s in verschillende sectoren.
“De crimeware-compromisketen van Asylum Ambuscade lijkt vrij veel op die van hun cyberspionagecampagnes. Het grootste verschil is de aanvalsvector, die een kwaadaardige Google-advertentie kan zijn die omleidt naar een website die vervolgens een kwaadaardig JavaScript-bestand levert of meerdere HTTP-omwegen”, verduidelijkt Faou.
Meer technische informatie over Asylum Ambuscade, is te vinden in de blog “Asylum Ambuscade – A curious case of a threat actor at the border between crimeware and cyberespionage” op www.WeLiveSecurity.com. Volg ESET Research on Twitter voor de nieuwste info van ESET Research.
