Un grupo de ciberdelincuencia con ambiciones de espionaje

09 junio 2023Ravie LakshmanánCiberdelincuencia / APT

Grupo de ciberdelincuencia

El actor de amenazas conocido como Emboscada de asilo se ha observado a caballo entre las operaciones de ciberdelincuencia y ciberespionaje desde al menos principios de 2020.

«Es un grupo de crimeware que se dirige a clientes bancarios y comerciantes de criptomonedas en varias regiones, incluidas América del Norte y Europa», ESET dicho en un análisis publicado el jueves. «Asylum Ambuscade también hace espionaje contra entidades gubernamentales en Europa y Asia Central».

Asylum Ambuscade fue documentado por primera vez por Proofpoint en marzo de 2022 como una campaña de phishing patrocinada por un estado nacional que se dirigía a entidades gubernamentales europeas en un intento de obtener inteligencia sobre los movimientos de refugiados y suministros en la región.

El objetivo de los atacantes, según la firma de ciberseguridad eslovaca, es desviar información confidencial y credenciales de correo electrónico web de los portales de correo electrónico oficiales del gobierno.

La seguridad cibernética

Los ataques comienzan con un correo electrónico de phishing selectivo que contiene un archivo adjunto de hoja de cálculo de Excel malicioso que, cuando se abre, explota el código VBA o la vulnerabilidad de Follina (CVE-2022-30190) para descargar un paquete MSI desde un servidor remoto.

El instalador, por su parte, despliega un descargador escrito en Lua llamado SunSeed (o su equivalente en Visual Basic Script) que, a su vez, recupera un malware basado en AutoHotkey conocido como AHK Bot desde un servidor remoto.

Lo notable de Asylum Ambuscade es su ola de delitos cibernéticos que se ha cobrado más de 4500 víctimas en todo el mundo desde enero de 2022, la mayoría de ellas ubicadas en América del Norte, Asia, África, Europa y América del Sur.

ataque cibernético

«La orientación es muy amplia y en su mayoría incluye individuos, comerciantes de criptomonedas y pequeñas y medianas empresas (PYMES) en varias verticales», dijo Matthieu Faou, investigador de ESET.

Si bien un aspecto de los ataques está diseñado para robar criptomonedas, es probable que el objetivo de las PYMES sea un intento de monetizar el acceso vendiéndolo a otros grupos de ciberdelincuentes para obtener ganancias ilícitas.

La cadena de compromiso sigue un patrón similar que excluye el vector de intrusión inicial, que implica el uso de un anuncio de Google falso o un sistema de dirección de tráfico (TDS) para redirigir a las víctimas potenciales a un sitio web falso que entrega un archivo JavaScript con malware.

PRÓXIMO SEMINARIO WEB

🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque

Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!

Únete a la sesión

Los ataques también han hecho uso de una versión Node.js de AHK Bot con nombre en código NODEBOT que luego se usa para descargar complementos responsables de tomar capturas de pantalla, saquear contraseñas, recopilar información del sistema e instalar troyanos y ladrones adicionales.

Dadas las cadenas de ataque casi idénticas en los esfuerzos de ciberdelincuencia y espionaje, se sospecha que «Asylum Ambuscade es un grupo de ciberdelincuencia que está haciendo algo de ciberespionaje de forma paralela».

Las superposiciones también se extienden a otro grupo de actividad denominado Screentime que se sabe que se dirige a empresas en los EE. UU. y Alemania con malware a medida diseñado para robar información confidencial. Proofpoint está rastreando al actor de amenazas con el nombre TA866.

«Es bastante inusual atrapar a un grupo de ciberdelincuencia que ejecuta operaciones dedicadas de ciberespionaje», dijo Faou, lo que lo convierte en una rareza en el panorama de amenazas.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

.

Puede interesarte

logotipo de mudrex

Precio de la criptomoneda el 27 de mayo: Bitcoin cae por debajo de $ 68,7 mil; Dogecoin y Chainlink caen hasta un 4%

Las principales marcas de criptomonedas cotizaron en números rojos el lunes, lideradas por Bitcoin (BTC), …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *