Rilevamento dell’Attacco Asylum Ambuscade: Collettivo di Hacking Coinvolto in Multiple Campagne di Cyber-Spionaggio e Crimini Cibernetici a Scopo di Lucro

[post-views]
Giugno 12, 2023 · 5 min di lettura
Rilevamento dell’Attacco Asylum Ambuscade: Collettivo di Hacking Coinvolto in Multiple Campagne di Cyber-Spionaggio e Crimini Cibernetici a Scopo di Lucro

Il 24 febbraio 2022, poco più di un anno fa, la Federazione russa ha avviato un’invasione offensiva dell’Ucraina via terra, aria e mare. La guerra si è intensificata anche nel cyberspazio di conseguenza, stiamo assistendo alla prima vera e propria guerra cibernetica nella storia umana, con molteplici controparti offensive impegnate in attacchi contro l’Ucraina e i suoi alleati.  

Uno dei collettivi di hacker rivelati come attivamente impegnati nel confronto è Asylum Ambuscade. Essendo un attore relativamente nuovo nell’arena del crimine informatico, questo gruppo di hacker mescola operazioni a scopo di lucro e attività di cyber-spionaggio contro istituzioni governative.

Nel marzo 2022, gli esperti di sicurezza hanno identificato che Asylum Ambuscade è responsabile di un sofisticato attacco contro il personale governativo europeo che assiste i rifugiati ucraini. Inoltre, i ricercatori hanno monitorato una serie di attacchi contro funzionari dell’Asia centrale. Contemporaneamente, il gruppo continua a impegnarsi in campagne criminali informatiche contro il settore privato per ottenere guadagni finanziari.

Rilevare gli attacchi di Asylum Ambuscade 

Mescolando diverse motivazioni nelle sue campagne, Asylum Ambuscade è ora considerato uno dei collettivi di hacking più prolifici nell’arena del crimine informatico, con 4.500 vittime identificate in tutto il mondo dall’inizio del 2022. Per rilevare proattivamente le attività malevole associate e proteggere le infrastrutture organizzative dalle intrusioni di Asylum Ambuscade, i professionisti della cybersecurity necessitano di una fonte fidata di contenuti di rilevamento curati. La piattaforma SOC Prime per la difesa collettiva nel cyberspazio aggrega e mette a disposizione un ampio set di regole Sigma che affrontano le TTP degli attori di minaccia. 

Tutte le rilevazioni sono compatibili con più di 25 soluzioni SIEM, EDR e XDR e mappate al framework MITRE ATT&CK v12 per aiutare i professionisti della sicurezza a semplificare le operazioni di indagine e caccia alla minaccia.

Premere il pulsante Esplora Rilevazioni qui sotto per approfondire immediatamente un pacchetto di regole Sigma volto a rilevare gli attacchi di Asylum Ambuscade. Tutte le regole sono accompagnate da metadati estesi, comprese le referenze ATT&CK e CTI. Per semplificare la ricerca dei contenuti, SOC Prime supporta il filtraggio per etichette “Asylum Ambuscade” e “SunSeed” basate sul nome del gruppo e il nome di un malware customizzato piantato dagli attaccanti durante la campagna di cyber-spionaggio mirata contro funzionari europei che aiutano i rifugiati ucraini.

pulsante Esplora Rilevazioni

Panoramica delle campagne di cybercriminalità e spionaggio di Asylum Ambuscade

Essendo attivo dal 2020, Asylum Ambuscade è riuscito a rimanere sotto il radar fino a marzo 2022, quando Proofpoint ha documentato una campagna di cyber-spionaggio sponsorizzata dallo stato rivolta ad entità del settore pubblico europeo. La scoperta si basava sull’ allerta di CERT-UA che tracciava il gruppo come UNC1151 (UAC-0051).

Durante questo attacco, gli attori delle minacce avrebbero presumibilmente compromesso un account email di un membro del servizio armato ucraino per lanciare un attacco di phishing che ha portato alla distribuzione del malware SunSeed. Secondo gli esperti, questa campagna malevola mirava a estrarre informazioni sensibili e raccogliere credenziali email dai risorse governative ufficiali. 

Mentre le campagne di cyber-spionaggio sono inizialmente balzate agli onori della cronaca, Asylum Ambuscade è stato anche coinvolto in una serie di operazioni di cybercriminalità focalizzate sui guadagni finanziari. ESET indagine sostiene che il collettivo di hacker ha preso di mira oltre 4.500 organizzazioni private a partire da gennaio 2022, incluse operatori di criptovalute, piccole e medie imprese (PMI), istituzioni finanziarie e individui. Notoriamente, la maggior parte delle vittime si trovava in Nord America; infatti, i ricercatori hanno osservato anche attacchi contro obiettivi asiatici, africani e europei.

L’intento di attaccare gli operatori di criptovalute sembra ovvio – rubare criptovaluta – ma i motivi per prendere di mira le PMI rimangono in questione. Gli esperti di sicurezza sospettano che i cybercriminali di Asylum Ambuscade possano vendere l’accesso agli operatori di ransomware o usufruire della possibilità di continuare attività di spionaggio. 

Le operazioni di cyber-spionaggio e cybercriminalità di Asylum Ambuscade seguono una catena di attacco simile. L’attacco inizia con una pubblicità maligna di Google che conduce a un file JavaScript tramite reindirizzamenti multipli o un’email di phishing con un allegato maligno che lascia cadere un downloader malware. Alla fine, entrambe le routine portano all’infezione da malware SunSeed o Ahkbot. Per rimanere sotto il radar dei ricercatori di sicurezza informatica, gli hacker di Asylum Ambuscade utilizzano diverse varianti del downloader SunSeed scritte in Lua, Tc e Visual Basic. Per l’infezione da Ahkbot, viene utilizzato AutoHotkey o uno strumento Node.js chiamato NodeBot. 

Combinando le TTP tipiche di attori statali e gruppi di cybercriminalità, Asylum Ambuscade rappresenta una minaccia significativa per le organizzazioni pubbliche e private in tutto il mondo. Affidati a SOC Prime per essere completamente equipaggiato con contenuti di rilevamento per qualsiasi CVE sfruttabile o TTP utilizzato negli attacchi informatici in corso. Accedi al flusso più veloce al mondo di notizie sulla sicurezza, intelligence sulle minacce su misura e il più grande repository di oltre 10.000 regole Sigma curate e continuamente arricchito con nuove idee di rilevamento. Sblocca la potenza dell’intelligenza aumentata e dell’esperienza collettiva del settore per equipaggiare qualsiasi membro del team di sicurezza con un strumento definitivo per l’ingegneria avanzata del rilevamento. Identifica punti ciechi e affrontali tempestivamente per garantire una completa visibilità delle minacce basata sui log specifici dell’organizzazione senza spostare i dati nel cloud. Registrati sulla piattaforma SOC Prime ora e potenzia il tuo team di sicurezza con i migliori strumenti per un domani sicuro. 

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento dell’attacco Secret Blizzard: APT sostenuta dalla russia prende di mira le ambasciate straniere a Mosca con il malware ApolloShadow
Blog, Ultime Minacce — 5 min di lettura
Rilevamento dell’attacco Secret Blizzard: APT sostenuta dalla russia prende di mira le ambasciate straniere a Mosca con il malware ApolloShadow
Daryna Olyniychuk
Rilevamento degli Attacchi di APT41: Hacker Cinesi Sfruttano Google Calendar e Distribuiscono Malware TOUGHPROGRESS Contro le Agenzie Governative
Blog, Ultime Minacce — 6 min di lettura
Rilevamento degli Attacchi di APT41: Hacker Cinesi Sfruttano Google Calendar e Distribuiscono Malware TOUGHPROGRESS Contro le Agenzie Governative
Daryna Olyniychuk
Rileva gli attacchi APT28: l’unità 26156 del GRU russo prende di mira le aziende logistiche e tecnologiche occidentali che coordinano gli aiuti all’Ucraina in una campagna di hacking di due anni
Blog, Ultime Minacce — 9 min di lettura
Rileva gli attacchi APT28: l’unità 26156 del GRU russo prende di mira le aziende logistiche e tecnologiche occidentali che coordinano gli aiuti all’Ucraina in una campagna di hacking di due anni
Veronika Telychko