Posté le juin 9, 2023 à 7:36

LE GROUPE DE HACKERS ASYLUM AMBUSCADE LANCE DES ATTAQUES CONTRE DES PME DANS LE MONDE ENTIER

Un groupe d’acteurs de la menace connu sous le nom d' »Asylum Ambuscade » a été observé en train de mener une série d’attaques visant des petites et moyennes entreprises (PME) dans le monde entier. Ce groupe utilise la cybercriminalité et le cyberespionnage pour mener ses campagnes de hackers.

Asylum Ambuscade combine cybercriminalité et espionnage

Le groupe d’acteurs de la menace en question aurait commencé ses opérations depuis au moins 2020. Le groupe a été identifié pour la première fois par Proofpoint dans un rapport publié en mars 2022. Le rapport en question examinait une campagne de phishing menée par le groupe d’acteurs de la menace. La campagne visait les entités qui soutenaient le mouvement des réfugiés Ukrainiens.

Les chercheurs d’ESET ont maintenant publié un nouveau rapport sur ce groupe de hackers. Le groupe a révélé plus de détails sur les opérations menées par les cybercriminels en 2022. Le rapport d’ESET s’est également penché sur les mises à jour de l’ensemble des outils et de la victimologie de l’entreprise.

Exploits de piratage d’Asylum Ambuscade

Asylum Ambuscade est un groupe d’acteurs de la menace qui lance généralement des attaques de piratage par le biais de mails de spear-phishing. Ces emails sont généralement envoyés à des cibles et contiennent des liens vers des documents malveillants. Ces liens contiennent un code VBS malveillant. L’acteur de la menace a également exploité une vulnérabilité répertoriée sous le nom de CVE-2022-30190, ou Folina, après juin 2022.

L’exploit réalisé par ce groupe d’acteurs de la menace déclenche le téléchargement d’un programme d’installation MSI. Ce programme d’installation déploie le logiciel malveillant Sunseed du groupe d’acteurs de la menace. Il lance également un téléchargeur basé sur Lua qui génère un fichier LNK dans le dossier de démarrage de Windows. L’acteur de la menace lance des attaques persistantes contre les cibles.

Le logiciel malveillant Sunseed utilisé dans cette campagne obtient la charge utile de l’étape suivante, connue sous le nom d’Akhbot. La charge utile sera installée à partir du serveur de commande et de contrôle, et elle continuera à se connecter au serveur pour obtenir et exécuter un autre code Lua.

Le groupe de hackers Asylum Ambuscade entretient également une vaste base de cibles. Le groupe de hackers a continué à lancer des attaques contre des cibles en 2022. Il s’agit notamment de clients de banques, de traders de cryptomonnaies, d’entités gouvernementales et de petites et moyennes entreprises situées en Asie centrale, en Europe et en Amérique du Nord.

La vaste portée de ce groupe d’acteurs de la menace dans différentes industries montre qu’il a le potentiel de causer des dommages importants. Les chercheurs d’ESET ont déclaré que la chaîne d’infection actuelle observée dans les exploits récents menés par le groupe avait continué à suivre un schéma similaire à celui observé lors des opérations de 2022.

Cependant, les analystes en sécurité d’ESET ont maintenant détecté de nouveaux vecteurs de compromission. Ces vecteurs comprennent des publicités Google malveillantes qui redirigent les utilisateurs vers des sites qui exécutent un code JavaScript malveillant.

Le groupe d’acteurs de la menace a par ailleurs entamé le processus de déploiement d’un nouvel outil connu sous le nom de Nodebot. L’outil en question a été déployé en mars 2023 et semble être le port Node.js de la charge utile Akhbot.

Une fois que le logiciel malveillant a été lancé avec succès sur l’appareil cible, il remplit plusieurs fonctions. Le logiciel malveillant peut effectuer des captures d’écran et exfiltrer les mots de passe des utilisateurs à partir de différents navigateurs tels qu’Internet Explorer, Firefox et les navigateurs basés sur Chromium. Le navigateur peut aussi aller chercher d’autres plugins AutoHotkey sur l’appareil qui a été ciblé par les hackers.

Les plugins installés par le logiciel malveillant sont dotés de fonctionnalités spécifiques. Ils peuvent télécharger un chargeur Cobalt Strike empaqueté par VMProtect. Ils peuvent également être utilisés pour installer Chrome afin de faciliter les opérations de hVNC.

Les autres rôles joués par le plugin comprennent le lancement d’un enregistreur de frappe et le déploiement du voleur d’informations Rhadamanthys. Les plugins peuvent également lancer un RAT disponible dans le commerce tout en menant toute une série d’autres activités malveillantes. La nature de ces attaques montre que les acteurs de la menace sont connus pour leurs activités et qu’ils ont le potentiel de causer de gros dégâts.

Les chercheurs d’ESET ont déclaré qu’ils avaient commencé à suivre ce groupe d’acteurs de la menace en janvier 2022 et qu’il avait fait 4 500 victimes. Le nombre montre que le groupe de hackers a fait environ 265 victimes chaque mois, ce qui en a fait l’un des groupes d’acteurs de menace les plus prolifiques. Le groupe d’acteurs de la menace a aussi constitué une menace pour les organisations à l’échelle mondiale.

Une partie de l’activité de ces hackers, comme le ciblage des traders de cryptomonnaies et des comptes bancaires, montre une motivation financière. Cependant, le fait de cibler des petites et moyennes entreprises témoigne de cyberespionnage.

Le groupe d’acteurs de la menace pourrait également vendre l’accès au réseau des entreprises ciblées à des groupes de ransomware pour faire du profit. Cependant, les chercheurs d’ESET ont noté qu’il n’y avait aucune preuve que le groupe vendait les données collectées à d’autres cybercriminels, ce qui rend l’intention des hackers peu claire.