アサイラム・アンブスケード攻撃検知：複数のサイバー諜報および金銭目的のサイバー犯罪キャンペーンに関与するハッカー集団

2022年2月24日、1年以上前に、ロシア連邦はウクライナへの侵攻を陸、空、海から開始しました。この 戦争はサイバースペースでも激化しました 。その結果、私たちは歴史上初めての本格的なサイバー戦争を目撃しており、ウクライナとその同盟国に対する攻撃に従事する多くの攻撃者が存在しています。

対立に積極的に関与していることが明らかになったハッカー団体の1つがAsylum Ambuscadeです。このグループは、サイバー犯罪の領域では比較的新しい参入者であり、政府機関に対する経済的動機による作戦とサイバー諜報活動を組み合わせています。

2022年3月にセキュリティ専門家は、Asylum Ambuscadeが洗練された 攻撃をヨーロッパの政府関係者に対して行ったことを特定しました ウクライナ難民を支援するためです。また、中央アジアの役員に対する一連の攻撃が研究者によって追跡されています。同時に、このグループは民間部門に対するサイバー犯罪キャンペーンに継続的に従事し、金銭的利益を得ています。

Asylum Ambuscadeの攻撃を検知する

さまざまな動機をそのキャンペーンに組み合わせているAsylum Ambuscadeは、2022年の初め以来、世界中で4,500人の被害者が確認されているサイバー犯罪の領域で最も多産なハッカー団体の1つと見なされています。関連する悪意のある活動を積極的に検知し、Asylum Ambuscadeの侵入から組織インフラを保護するために、サイバーセキュリティ専門家は厳選された検知コンテンツの信頼できるソースが必要です。SOC Primeの集団サイバー防衛用プラットフォームは、脅威アクターのTTPを対象としたSigmaルールの広範なセットを集約しています。

すべての検知は25以上のSIEM、EDR、XDRソリューションと互換性があり、 MITRE ATT&CKフレームワーク v12にマッピングされており、セキュリティ専門家が調査や脅威ハンティングの操作を簡略化するのに役立ちます。

を押して 検知を探索する ボタンを押して、Asylum Ambuscade攻撃を検知するためのSigmaルールバンドルにすぐにアクセスしてください。すべてのルールには、ATT&CKおよびCTI参照を含む豊富なメタデータが付属しています。コンテンツ検索を簡素化するために、SOC Primeはタグ「Asylum Ambuscade」および「SunSeed」を使用したフィルタリングをサポートしており、これはグループの通称や、ウクライナ難民を援助するヨーロッパの役人をターゲットにしたサイバー諜報キャンペーン中に攻撃者によって植え付けられた独自のマルウェアの名前に基づいています。

検知を探索する

Asylum Ambuscadeのサイバー犯罪と諜報キャンペーンの概要

2020年から活動しているAsylum Ambuscadeは、2022年3月までレーダーにはかからないようにしていましたが、その時Proofpointが 記録しました ヨーロッパの公的セクターをターゲットにした国家が後援するサイバー諜報キャンペーン。この発見は、ウクライナの武装サービスメンバーのメールアカウントがフィッシング攻撃を開始するために侵害されたとされるこの攻撃中に、Cert-UAによってグループを UNC1151 (UAC-0051)として追跡していました by CERT-UA tracking the group as UNC1151 (UAC-0051).

。この攻撃において、脅威アクターはウクライナの武装サービスメンバーのメールアカウントを侵害し、フィッシング攻撃を開始し、SunSeedマルウェアの配布を引き起こしました。専門家によれば、この悪意あるキャンペーンは、公式政府リソースから機密情報を抽出し、メール認証情報をダンプすることを目的としていました。

サイバー諜報キャンペーンが最初に注目されましたが、Asylum Ambuscadeは金銭的利益を得ることを目的とした一連のサイバー犯罪活動にも関与しています。ESETの 調査 によると、このハッカー団体は2022年1月以来、4,500以上の民間組織、仮想通貨トレーダー、中小企業（SMB）、金融機関、個人をターゲットにしてきました。特に、ほとんどの被害者は北アメリカに位置していましたが、アジア、アフリカ、ヨーロッパのターゲットに対する攻撃も観察されました。

仮想通貨トレーダーを攻撃する動機は明白ですが – 仮想通貨を盗むこと – SMBをターゲットにする動機は疑問です。セキュリティ専門家は、Asylum Ambuscadeのサイバー犯罪者がランサムウェアオペレーターにアクセスを売るか、それを使って諜報活動を進めるかもしれないと疑っています。

Asylum Ambuscadeのサイバー諜報およびサイバー犯罪活動は、類似の攻撃キルチェーンをたどります。攻撃は、複数回のリダイレクトを通じてJavaScriptファイルに誘導する悪意のあるGoogle広告または悪意のある添付ファイルでマルウェアダウンローダを落とすフィッシングメールから始まります。最終的に、どちらの手順もSunSeedまたはAhkbotマルウェア感染に至ります。サイバーセキュリティ研究者のレーダーに掛からないために、Asylum AmbuscadeのハッカーはLua, Tc, Visual Basicで書かれたSunSeedダウンローダの様々なバージョンを利用しています。Ahkbot感染には、AutoHotkeyやNode.jsツールであるNodeBotが使用されます。

国家行動者とサイバー犯罪グループに典型的なTTPを組み合わせることで、Asylum Ambuscadeは世界中の公共および民間組織にとって重大な脅威となっています。SOC Primeに頼ることで、あらゆる利用可能なCVEや進行中のサイバー攻撃に使用される任意のTTPに対抗するための検出コンテンツを完全に装備しましょう。世界で最も速いセキュリティニュースフィード、カスタマイズされた脅威インテリジェンス、および10,000以上のSigmaルールの最大リポジトリを継続的に提供し続けることで、すべてのセキュリティチームメンバーに高度な検出エンジニアリングのための究極のツールを提供します。クラウドにデータを移動することなく、組織固有のログに基づいて完全な脅威可視性を確保するために盲点を特定し、適時に対処してください。 SOC Primeプラットフォーム に今すぐ登録し、安全な未来のために最善のツールを用意してセキュリティチームを強化してください。