Cyberangribere i 'Asylum Ambuscade' blander finansielle røverier og cyberspionage

Forskere har knyttet en række økonomisk motiverede angreb og en gruppe af avancerede vedvarende trusler (APT)-lignende spionageaktiviteter til en enkelt cyberkriminalitetsenhed - selvom angrebssættene tidligere blev anset for at være to forskellige aktørers arbejde.

En cyberkriminalitetsgruppe, som forskere har døbt "Asylum Ambuscade", står på grænsen mellem de to motiver, ifølge ESET analyse denne uge. Gruppen har været aktiv siden mindst 2020, men blev ikke offentliggjort før Bevispunkt detaljeret en APT-formodet indsats fra marts 2022, der var rettet mod europæiske regeringspersonale, der var involveret i at hjælpe ukrainske flygtninge forud for den russiske invasion. I den kampagne brugte cyberangriberne spear-phishing til at stjæle fortrolige oplysninger og webmail-legitimationsoplysninger fra officielle regerings webmail-portaler.

I mellemtiden har der været en konstellation af økonomisk motiverede cyberkriminalitetsangreb, som ESET-forskere har fulgt, rettet mod bankkunder og cryptocurrency-handlere, aktive siden januar 2022. På det tidspunkt har firmaet talt mere end 4,500 ofre over hele verden for disse forbundne kampagner, for det meste i Nordamerika (men også i Asien, Afrika, Europa og Sydamerika).

To motivationer, én aktør i cyberkriminalitet

ESET-forskere afslørede, at kriminalitets-kompromiskæden er meget lig kæden for cyberspionagekampagner, der tidligere er beskrevet, ned til brugen af ​​tilpassede malware-varianter kaldet SunSeed og AHKBOT. Den største forskel er kompromisvektoren, som i de økonomiske angreb involverede ondsindede Google Ads- og omdirigeringskæder i "spray-and-pray"-stil.

"Kompromiskæderne er næsten identiske i alle kampagner," ifølge ESETs analyse. “Især SunSeed og AHKBOT er blevet brugt meget til både cyberkriminalitet og cyberspionage; [og] vi tror ikke på, at SunSeed og AHKBOT er [varer, der bruges af flere aktører og] ​​sælges på undergrundsmarkedet."

Således fastslog forskerne, at "Asylum Ambuscade er en cyberkriminalitetsgruppe, der laver noget cyberspionage ved siden af ​​[og] den ser ud til at forgrene sig ... mod regeringer i Centralasien og Europa fra tid til anden."

Det er uklart, om gruppen er en hack-til-udlejning outfit, en statssponsoreret skuespiller eller blot selvdrevne opportunister. Under alle omstændigheder konkluderede ESET-forskere: "Det er ret usædvanligt at fange en cyberkriminalitetsgruppe, der driver dedikerede cyberspionageoperationer, og som sådan mener vi, at forskere bør holde tæt styr på Asylum Ambuscade-aktiviteter."

Det kan være usædvanligt, men det skal bemærkes, at det ikke er første gang, de to halvdele af cyberkriminalitetsverdenen blandes. Den nordkoreanske APT Lazarus Group udfører berygtet kryptojacking og andre finansielle røverier for at hjælpe med at finansiere regimet i Pyongyang, mens de også optræder som en virulent cyberspionageskuespiller.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• EVM Finans. Unified Interface for Decentralized Finance. Adgang her.
• Quantum Media Group. IR/PR forstærket. Adgang her.
• PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
• Kilde: https://www.darkreading.com/threat-intelligence/asylum-ambuscade-cyberattackers-financial-cyber-espionage