Detecção do Ataque Asylum Ambuscade: Coletivo de Hackers Envolvido em Múltiplas Campanhas de Ciberespionagem e Cibercrime Financeiro Motivado
Índice:
Em 24 de fevereiro de 2022, pouco mais de um ano atrás, a federação russa iniciou uma invasão ofensiva da Ucrânia por terra, ar e mar. A guerra também escalou no ciberespaço . Como resultado, estamos agora testemunhando a primeira guerra cibernética completa na história da humanidade, com múltiplos oponentes ofensivos engajados em ataques contra a Ucrânia e seus aliados.
Um dos coletivos de hackers que se revelou ativamente envolvido na confrontação é Asylum Ambuscade. Sendo um participante relativamente novo na arena do cibercrime, este grupo de hackers mistura operações motivadas financeiramente e atividades de ciberespionagem contra instituições governamentais.
Em março de 2022, especialistas em segurança identificaram que o Asylum Ambuscade está por trás de um ataque sofisticado contra funcionários de governo europeus que auxiliam refugiados ucranianos. Além disso, uma série de ataques contra oficiais da Ásia Central foram rastreados por pesquisadores. Simultaneamente, o grupo continuamente se envolve em campanhas cibercriminosas contra o setor privado para obter ganhos financeiros.
Detectando Ataques do Asylum Ambuscade
Misturando diferentes motivações em suas campanhas, Asylum Ambuscade é agora considerado um dos coletivos de hackers mais prolíficos na arena do cibercrime, com 4.500 vítimas identificadas em todo o mundo desde o começo de 2022. Para detectar de forma proativa a atividade maliciosa associada e proteger a infraestrutura organizacional de intrusões do Asylum Ambuscade, os profissionais de cibersegurança precisam de uma fonte confiável de conteúdo de detecção curado. A Plataforma da SOC Prime para defesa cibernética coletiva agrega um vasto conjunto de regras Sigma abordando os TTPs do ator de ameaça.
Todas as detecções são compatíveis com mais de 25 soluções SIEM, EDR e XDR e estão mapeadas para o framework MITRE ATT&CK v12 para ajudar os profissionais de segurança a simplificar a investigação e as operações de caça às ameaças.
Pressione o botão Explorar Detecções abaixo para acessar imediatamente um pacote de regras Sigma voltado para detectar ataques do Asylum Ambuscade. Todas as regras são acompanhadas por extensa metadados, incluindo referências ATT&CK e CTI. Para simplificar a busca de conteúdo, a SOC Prime suporta filtragem por tags “Asylum Ambuscade” e “SunSeed” com base no apelido do grupo e no nome de um malware personalizado implantado pelos atacantes durante a campanha de ciberespionagem visando funcionários europeus que ajudam refugiados ucranianos.
Visão Geral das Campanhas de Cibercrime e Espionagem do Asylum Ambuscade
Ativo desde 2020, o Asylum Ambuscade conseguiu passar despercebido até março de 2022, quando a Proofpoint documentou uma campanha de ciberespionagem patrocinada pelo Estado visando entidades do setor público europeu que. A descoberta foi baseada no alerta do CERT-UA rastreando o grupo como UNC1151 (UAC-0051).
Durante este ataque, os atores da ameaça supostamente comprometeram uma conta de e-mail de um membro do serviço armado ucraniano para lançar um ataque de phishing que resultou na entrega do malware SunSeed. De acordo com os especialistas, esta campanha maliciosa visava extrair informações sensíveis e despejar credenciais de e-mail de recursos governamentais oficiais.
Embora as campanhas de ciberespionagem inicialmente tenham ganhado destaque, o Asylum Ambuscade também esteve envolvido em uma série de operações cibercriminosas focadas em obter lucros financeiros. A investigação da ESET afirma que o coletivo de hackers tem como alvo mais de 4.500 organizações privadas desde janeiro de 2022, incluindo comerciantes de criptomoedas, pequenas e médias empresas (PMEs), instituições financeiras e indivíduos. Notavelmente, a maioria das vítimas estava localizada na América do Norte; no entanto, os pesquisadores também observaram ataques contra alvos na Ásia, África e Europa. states that the hacking collective has targeted over 4,500 private organizations since Jan 2022, including cryptocurrency traders, small-to-medium enterprises (SMBs), financial institutions, and individuals. Notably, most of the victims were located in North America; however, researchers also observed attacks against Asian, African, and European targets.
Embora a motivação para atacar comerciantes de criptomoedas pareça óbvia – roubar criptomoeda – os motivos para atacar PMEs permanecem uma questão. Especialistas em segurança suspeitam que os cibercriminosos do Asylum Ambuscade possam vender acesso a operadores de ransomware ou usá-lo para prosseguir com atividades de espionagem.
As operações de ciberespionagem e cibercrime do Asylum Ambuscade seguem uma cadeia de ataque semelhante. O ataque começa com um anúncio malicioso do Google levando a um arquivo JavaScript através de várias redireções ou um e-mail de phishing com um anexo malicioso que solta um downloader de malware. Eventualmente, ambas as rotinas terminam com a infecção por malware SunSeed ou Ahkbot. Para ficar fora do alcance de pesquisadores de cibersegurança, os hackers do Asylum Ambuscade utilizam diferentes variantes do downloader SunSeed escritos em Lua, Tc e Visual Basic. Para infecção por Ahkbot, é usado a ferramenta AutoHotkey ou Node.js chamada NodeBot.
Combinando as TTPs típicas de atores estatais e grupos de cibercrime, o Asylum Ambuscade representa uma ameaça significativa para organizações públicas e privadas em todo o mundo. Confie na SOC Prime para estar totalmente equipado com conteúdo de detecção contra qualquer CVE explorável ou qualquer TTP utilizado nos ataques cibernéticos em andamento. Acesse o feed de notícias de segurança mais rápido do mundo, inteligência de ameaças adaptada e o maior repositório de 10.000+ regras Sigma curadas e continuamente enriquecidas com novas ideias de detecção. Desbloqueie o poder da inteligência aumentada e da expertise coletiva da indústria para equipar qualquer membro da equipe de segurança com uma ferramenta definitiva para engenharia de detecção avançada. Identifique pontos cegos e os aborde tempestivamente para garantir visibilidade completa das ameaças com base nos logs específicos da organização sem mover dados para a nuvem. Registre-se na Plataforma SOC Prime agora e capacite sua equipe de segurança com as melhores ferramentas para um amanhã seguro.
