Detección de Ataques de Emboscada en Asylum: Colectivo de Hackers Involucrado en Múltiples Campañas de Ciberespionaje y Cibercrimen Motivado por Finanzas
Tabla de contenidos:
El 24 de febrero de 2022, hace poco más de un año, la federación rusa inició una invasión ofensiva a Ucrania por tierra, aire y mar. La guerra también escaló en el ciberespacio . Como resultado, ahora somos testigos de la primera ciber guerra total en la historia humana, con múltiples contrapartes ofensivas participando en ataques contra Ucrania y sus aliados.
Uno de los colectivos de hackers revelados como activos en la confrontación es Asylum Ambuscade. Siendo un jugador relativamente nuevo en la arena del cibercrimen, este grupo de hackers mezcla operaciones con motivaciones financieras y actividad de ciberespionaje contra instituciones gubernamentales.
En marzo de 2022, expertos en seguridad identificaron que Asylum Ambuscade está detrás de un sofisticado ataque contra personal gubernamental europeo ayudando a los refugiados ucranianos. Además, una serie de ataques contra autoridades de Asia Central han sido rastreados por investigadores. Simultáneamente, el grupo participa continuamente en campañas cibercriminales contra el sector privado para obtener beneficios financieros.
Detección de Ataques de Asylum Ambuscade
Mezclando diferentes motivaciones en sus campañas, Asylum Ambuscade se considera ahora uno de los colectivos de hackers más prolíficos en la arena del cibercrimen, con 4,500 víctimas identificadas en todo el mundo desde principios de 2022. Para detectar proactivamente la actividad maliciosa asociada y proteger la infraestructura organizacional de las intrusiones de Asylum Ambuscade, los profesionales de ciberseguridad requieren una fuente confiable de contenido de detección curado. La plataforma SOC Prime para la defensa cibernética colectiva agrega y extiende un conjunto de reglas Sigma que abordan los TTPs del actor de amenazas.
Todas las detecciones son compatibles con más de 25 soluciones SIEM, EDR y XDR y están mapeadas al marco MITRE ATT&CK v12 para ayudar a los profesionales de la seguridad a agilizar las operaciones de investigación y caza de amenazas.
Presione el Botón Explorar Detecciones a continuación para profundizar inmediatamente en un paquete de reglas Sigma dirigido a detectar ataques de Asylum Ambuscade. Todas las reglas van acompañadas de metadatos extensos, incluidas referencias ATT&CK y CTI. Para simplificar la búsqueda de contenido, SOC Prime admite el filtrado por etiquetas “Asylum Ambuscade” y “SunSeed” basadas en el apodo del grupo y el nombre de un malware personalizado plantado por los atacantes durante la campaña de ciberespionaje dirigida a funcionarios europeos que ayudan a los refugiados ucranianos.
Resumen de las Campañas de Cibercrimen y Espionaje de Asylum Ambuscade
Activo desde 2020, Asylum Ambuscade logró pasar desapercibido hasta marzo de 2022, cuando Proofpoint documentó una campaña de ciberespionaje patrocinada por el estado dirigida a entidades del sector público europeo. El descubrimiento se basó en la alerta por CERT-UA que rastreó al grupo como UNC1151 (UAC-0051).
Durante este ataque, los actores de la amenaza supuestamente comprometieron una cuenta de correo electrónico de un miembro del servicio armado ucraniano para lanzar un ataque de phishing que resultó en la entrega del malware SunSeed. Según los expertos, esta campaña maliciosa tenía como objetivo extraer información sensible y volcar credenciales de correo electrónico de recursos gubernamentales oficiales.
Si bien las campañas de ciberespionaje inicialmente salieron a la luz, Asylum Ambuscade también ha estado involucrado en una serie de operaciones cibercriminales centradas en obtener ganancias financieras. La investigación de ESET afirma que el colectivo de hackers ha apuntado a más de 4,500 organizaciones privadas desde enero de 2022, incluidos operadores de criptomonedas, pequeñas y medianas empresas (PYMES), instituciones financieras e individuos. Notablemente, la mayoría de las víctimas se encontraban en América del Norte; sin embargo, los investigadores también observaron ataques contra objetivos en Asia, África y Europa.
Si bien la motivación para atacar a los operadores de criptomonedas parece obvia -robar criptomonedas-, los motivos para apuntar a las PYMES siguen siendo una incógnita. Los expertos en seguridad sospechan que los cibercriminales de Asylum Ambuscade podrían vender acceso a operadores de ransomware o usarlo para continuar con actividades de espionaje.
Las operaciones de ciberespionaje y cibercrimen de Asylum Ambuscade siguen una cadena de ataque similar. El ataque comienza desde un anuncio malicioso de Google que lleva a un archivo JavaScript a través de múltiples redireccionamientos o un correo electrónico de phishing con un adjunto malicioso que descarga un descargador de malware. Eventualmente, ambas rutinas terminan con una infección de malware SunSeed o Ahkbot. Para mantenerse fuera del radar de los investigadores de ciberseguridad, los hackers de Asylum Ambuscade utilizan diferentes variantes del descargador SunSeed escrito en Lua, Tc y Visual Basic. Para la infección Ahkbot, se utiliza AutoHotkey o una herramienta Node.js llamada NodeBot.
Combinando los TTPs típicos de los actores estatales y grupos de cibercrimen, Asylum Ambuscade representa una amenaza significativa para organizaciones públicas y privadas en todo el mundo. Confíe en SOC Prime para estar completamente equipado con contenido de detección contra cualquier CVE explotable o cualquier TTP utilizado en los ataques cibernéticos en curso. Acceda al feed de noticias de seguridad más rápido del mundo, inteligencia de amenazas personalizada y el repositorio más grande de más de 10,000 reglas Sigma curadas continuamente enriquecidas con nuevas ideas de detección. Desbloquee el poder de la inteligencia aumentada y la experiencia colectiva de la industria para equipar a cualquier miembro del equipo de seguridad con una herramienta definitiva para la ingeniería avanzada de detección. Identifique puntos ciegos y abórdelos a tiempo para asegurar una visibilidad completa de amenazas basada en los registros específicos de la organización sin mover datos a la nube. Regístrese en la Plataforma SOC Prime ahora y empodere a su equipo de seguridad con las mejores herramientas para un futuro seguro.
