Détection des attaques d’Asylum Ambuscade : Un groupe de hackers impliqué dans plusieurs campagnes de cyberespionnage et de cybercriminalité à motivation financière
Table des matières :
Le 24 février 2022, il y a un peu plus d’un an, la fédération de Russie a commencé une invasion offensive de l’Ukraine par terre, air et mer. La guerre s’est également intensifiée dans le cyberespace en conséquence, nous assistons aujourd’hui à la toute première guerre cybernétique à part entière de l’histoire humaine, avec plusieurs contreparties offensives engagées dans des attaques contre l’Ukraine et ses alliés.
L’un des collectifs de piratage révélé être activement engagé dans la confrontation est Asylum Ambuscade. Étant un acteur relativement nouveau dans l’arène de la cybercriminalité, ce groupe de hackers mêle des opérations à motivation financière et des activités de cyberespionnage contre des institutions gouvernementales.
En mars 2022, les experts en sécurité ont identifié qu’Asylum Ambuscade est derrière une attaque sophistiquée contre le personnel gouvernemental européen aidant les réfugiés ukrainiens. Par ailleurs, une série d’attaques contre des responsables d’Asie centrale ont été suivies par les chercheurs. Simultanément, le groupe continue de s’engager dans des campagnes de cybercriminalité contre le secteur privé pour obtenir des gains financiers.
Détection des attaques d’Asylum Ambuscade
Mêlant différentes motivations dans ses campagnes, Asylum Ambuscade est désormais considéré comme l’un des collectifs de piratage les plus prolifiques de l’arène de la cybercriminalité, avec 4 500 victimes identifiées dans le monde depuis le début de 2022. Pour détecter de manière proactive l’activité malveillante associée et protéger l’infrastructure organisationnelle des intrusions Asylum Ambuscade, les professionnels de la cybersécurité ont besoin d’une source fiable de contenu de détection organisé. La plateforme SOC Prime pour la défense collective en cybersécurité agrège un ensemble étendu de règles Sigma abordant les TTPs des acteurs de la menace.
Toutes les détections sont compatibles avec plus de 25 solutions SIEM, EDR et XDR et mappées au cadre MITRE ATT&CK v12 pour aider les professionnels de la sécurité à rationaliser les opérations d’enquête et de chasse aux menaces.
Appuyez sur le Explore Detections bouton ci-dessous pour accéder immédiatement à un ensemble de règles Sigma visant à détecter les attaques d’Asylum Ambuscade. Toutes les règles sont accompagnées de métadonnées étendues, y compris les références ATT&CK et CTI. Pour simplifier la recherche de contenu, SOC Prime supporte le filtrage par les balises “Asylum Ambuscade” et “SunSeed” basées sur le surnom du groupe et le nom d’un logiciel malveillant personnalisé implanté par les attaquants lors de la campagne de cyberespionnage visant les responsables européens aidant les réfugiés ukrainiens.
Aperçu des campagnes de cybercriminalité et d’espionnage d’Asylum Ambuscade
Actif depuis 2020, Asylum Ambuscade a réussi à passer inaperçu jusqu’en mars 2022, lorsque Proofpoint a documenté une campagne de cyberespionnage parrainée par l’État visant des entités du secteur public européen que. La découverte était basée sur l’alerte de CERT-UA suivant le groupe en tant que UNC1151 (UAC-0051).
Lors de cette attaque, des acteurs malveillants auraient compromis un compte de messagerie d’un membre des services armés ukrainiens pour lancer une attaque par hameçonnage qui a abouti à la livraison du logiciel malveillant SunSeed. Selon les experts, cette campagne malveillante visait à extraire des informations sensibles et à pirater les identifiants de messagerie à partir de ressources gouvernementales officielles.
Bien que les campagnes de cyberespionnage aient initialement fait les gros titres, Asylum Ambuscade a également été impliqué dans une série d’opérations cybercriminelles axées sur la réalisation de profits financiers. L’enquête d’ESET déclare que le collectif de hackers a ciblé plus de 4 500 organisations privées depuis janvier 2022, y compris des traders de crypto-monnaies, des petites et moyennes entreprises (PME), des institutions financières et des particuliers. Notamment, la plupart des victimes se trouvaient en Amérique du Nord ; cependant, des chercheurs ont également observé des attaques contre des cibles asiatiques, africaines et européennes. states that the hacking collective has targeted over 4,500 private organizations since Jan 2022, including cryptocurrency traders, small-to-medium enterprises (SMBs), financial institutions, and individuals. Notably, most of the victims were located in North America; however, researchers also observed attacks against Asian, African, and European targets.
Si la motivation d’attaquer des traders de crypto-monnaies semble évidente – voler des crypto-monnaies – les motifs pour cibler les PME restent une question. Les experts en sécurité soupçonnent que les cybercriminals d’Asylum Ambuscade pourraient vendre l’accès à des opérateurs de ransomware ou l’utiliser pour poursuivre des activités d’espionnage.
Les opérations de cyberespionnage et de cybercriminalité d’Asylum Ambuscade suivent une chaîne d’attaque similaire. L’attaque commence par une annonce Google malveillante menant à un fichier JavaScript via plusieurs redirections ou un email de phishing avec une pièce jointe malveillante qui dépose un téléchargeur de logiciels malveillants. Finalement, les deux routines aboutissent à une infection par le logiciel malveillant SunSeed ou Ahkbot. Pour passer inaperçus auprès des chercheurs en sécurité, les pirates d’Asylum Ambuscade utilisent différentes variantes du téléchargeur SunSeed écrites en Lua, Tc et Visual Basic. Pour l’infection Ahkbot, un outil AutoHotkey ou Node.js nommé NodeBot est utilisé.
Combinant les TTP typiques des acteurs étatiques et des groupes de cybercriminalité, Asylum Ambuscade représente une menace majeure pour les organisations publiques et privées du monde entier. Comptez sur SOC Prime pour être entièrement équipé de contenu de détection contre toute CVE exploitable ou tout TTP utilisé dans les cyberattaques en cours. Accédez au flux de nouvelles de sécurité le plus rapide au monde, à des renseignements sur les menaces sur mesure et au plus grand dépôt de plus de 10 000 règles Sigma organisées, continuellement enrichies de nouvelles idées de détection. Déverrouillez la puissance de l’intelligence augmentée et l’expertise collective de l’industrie pour équiper tout membre de l’équipe de sécurité de l’outil ultime pour l’ingénierie avancée de la détection. Identifiez les angles morts et adressez-les en temps opportun pour garantir une visibilité complète des menaces en fonction des journaux spécifiques à l’organisation sans déplacer les données vers le cloud. Inscrivez-vous à la Platform SOC Prime maintenant et renforcez votre équipe de sécurité avec les meilleurs outils pour un avenir sécurisé.
