Asylum Ambuscade Angriffsdetektion: Hacker-Kollektiv in mehrere Cyber-Spionage- und finanziell motivierte Cyberkriminalitätskampagnen verwickelt
Inhaltsverzeichnis:
Am 24. Februar 2022, etwas mehr als vor einem Jahr, begann die Russische Föderation eine offensive Invasion der Ukraine zu Land, zu Wasser und in der Luft. Der Krieg eskalierte auch im Cyberspace . Infolgedessen erleben wir nun den ersten vollwertigen Cyberkrieg in der Geschichte der Menschheit, bei dem mehrere offensive Gegenstücke an Angriffen gegen die Ukraine und ihre Verbündeten beteiligt sind.
Eine der Hackerkollektive, die sich aktiv an der Konfrontation beteiligt haben, ist Asylum Ambuscade. Als relativ neuer Akteur in der Cybercrime-Arena mischt diese Hackergruppe finanziell motivierte Operationen mit Cyber-Spionageaktivitäten gegen staatliche Institutionen.
Im März 2022 identifizierten Sicherheitsexperten, dass Asylum Ambuscade hinter einem ausgeklügelten Angriff auf europäisches Regierungspersonal steht, das ukrainische Flüchtlinge unterstützt. Auch eine Reihe von Angriffen auf zentralasiatische Beamte wurde von Forschern verfolgt. Gleichzeitig beteiligt sich die Gruppe kontinuierlich an cyberkriminellen Kampagnen gegen den privaten Sektor, um finanzielle Gewinne zu erzielen.
Erkennung von Asylum Ambuscade-Angriffen
Durch die Mischung verschiedener Motivationen in ihren Kampagnen gilt Asylum Ambuscade nun als eines der aktivsten Hackerkollektive in der Cybercrime-Arena, mit 4.500 identifizierten Opfern weltweit seit Anfang 2022. Um die damit verbundenen bösartigen Aktivitäten proaktiv zu erkennen und die Unternehmensinfrastruktur vor Eindringlingen von Asylum Ambuscade zu schützen, benötigen Cybersicherheitsexperten eine vertrauenswürdige Quelle für kuratierte Erkennungsinhalte. Die Plattform von SOC Prime für kollektive Cyberabwehr aggregiert eine umfangreiche Sammlung von Sigma-Regeln, die auf die TTPs von Bedrohungsakteuren abzielen.
Alle Erkennungen sind mit mehr als 25 SIEM-, EDR- und XDR-Lösungen kompatibel und an das MITRE ATT&CK-Framework v12 angepasst, um Sicherheitsprofis zu helfen, die Ermittlungs- und Bedrohungsjagdoperationen zu optimieren.
Drücken Sie die Detektionen erkunden Schaltfläche unten, um sofort in ein Sigma-Regelpaket einzutauchen, das auf die Erkennung von Asyl-Ambuscade-Angriffen abzielt. Alle Regeln werden von umfangreichen Metadaten begleitet, einschließlich ATT&CK- und CTI-Referenzen. Um die Inhaltssuche zu vereinfachen, unterstützt SOC Prime die Filterung nach den Tags „Asylum Ambuscade“ und „SunSeed“, basierend auf dem Spitznamen der Gruppe und dem Namen einer maßgeschneiderten Malware, die von den Angreifern während der Cyberspionagekampagne, die auf europäische Beamte abzielt, gepflanzt wurde.
Überblick über Asylum Ambuscades Cybercrime- und Spionagekampagnen
Seit 2020 aktiv, konnte Asylum Ambuscade bis März 2022 unter dem Radar fliegen, als Proofpoint eine staatlich geförderte Cyberspionagekampagne dokumentierte, die europäische öffentliche Einrichtungen ins Visier nahm. Die Entdeckung basierte auf der Warnung von CERT-UA, das die Gruppe als by CERT-UA tracking the group as UNC1151 (UAC-0051).
verfolgte. Während dieses Angriffs kompromittierten die Bedrohungsakteure angeblich ein E-Mail-Konto eines ukrainischen Armeeangehörigen, um einen Phishing-Angriff zu starten, der zur Lieferung von SunSeed-Malware führte. Laut Experten zielte diese bösartige Kampagne darauf ab, sensible Informationen zu extrahieren und E-Mail-Zugangsdaten von offiziellen Regierungsressourcen auszuspähen.
Während die Cyberspionagekampagnen zunächst ins Rampenlicht rückten, war Asylum Ambuscade auch in eine Reihe von Cyberkriminalitätsoperationen involviert, die sich auf die Erlangung finanzieller Gewinne konzentrierten. Ihre Untersuchung besagt, dass das Hacker-Kollektiv seit Januar 2022 über 4.500 private Organisationen ins Visier genommen hat, darunter Kryptowährungshändler, kleine und mittelständische Unternehmen (KMU), Finanzinstitute und Einzelpersonen. Bemerkenswerterweise befanden sich die meisten Opfer in Nordamerika; jedoch beobachteten Forscher auch Angriffe gegen asiatische, afrikanische und europäische Ziele.
Während die Motivation, Kryptowährungshändler anzugreifen, offensichtlich erscheint – Kryptowährung zu stehlen – bleibt die Motivation, KMUs ins Visier zu nehmen, eine Frage. Sicherheitsexperten vermuten, dass die Cyberkriminellen von Asyllum Ambuscade möglicherweise Zugang an Ransomware-Operatoren verkaufen oder ihn nutzen, um mit Spionageaktivitäten fortzufahren.
Asylum Ambuscades Cyberspionage- und Cybercrime-Operationen folgen einer ähnlichen Angriffskette. Der Angriff beginnt mit einer böswilligen Google-Anzeige, die über mehrere Weiterleitungen zu einer JavaScript-Datei führt, oder einem Phishing-E-Mail mit einem bösartigen Anhang, der einen Malware-Downloader ablegt. Schließlich enden beide Routinen mit einer Infektion durch SunSeed- oder Ahkbot-Malware. Um unter dem Radar der Cybersicherheitsforscher zu bleiben, nutzen die Hacker von Asylum Ambuscade verschiedene Varianten des SunSeed-Downloaders, die in Lua, Tc und Visual Basic geschrieben sind. Für eine Ahkbot-Infektion wird AutoHotkey oder ein Node.js-Tool namens NodeBot verwendet.
Durch die Kombination von TTPs, die typisch für staatliche Akteure und Cybercrime-Gruppen sind, stellt Asylum Ambuscade eine erhebliche Bedrohung für öffentliche und private Organisationen weltweit dar. Vertrauen Sie auf SOC Prime, um voll ausgestattet mit Erkennungsinhalten gegen jeden ausnutzbaren CVE oder TTP, der bei laufenden Cyberangriffen verwendet wird, zu sein. Greifen Sie auf den weltweit schnellsten Feed für Sicherheitsnachrichten, maßgeschneiderte Bedrohungsinformationen und das größte Repository von kuratierten 10.000+ Sigma-Regeln zu, das kontinuierlich mit neuen Erkennungsideen angereichert wird. Nutzen Sie die Macht von erweiterter Intelligenz und kollektiver Branchenerfahrung, um jedem Mitglied des Sicherheitsteams ein ultimatives Werkzeug für anspruchsvolle Erkennungstechniken zur Verfügung zu stellen. Identifizieren Sie blinde Flecken und adressieren Sie diese rechtzeitig, um eine vollständige Bedrohungstransparenz basierend auf organisationsspezifischen Protokollen zu gewährleisten, ohne Daten in die Cloud zu verschieben. Registrieren Sie sich bei SOC Prime Platform jetzt und statten Sie Ihr Sicherheitsteam mit den besten Werkzeugen für eine sichere Zukunft aus.
