- 13,854
- 20
- 8 Ноя 2022
Киберпреступники используют в своих атаках VBScript-сценарии, а также целый набор вредоносных программ и полезных нагрузок.
Группировка злоумышленников, известная как Asylum Ambuscade, занимается кибершпионажем и киберпреступностью, атакуя малые и средние компании по всему миру. Эта группа действует с 2020 года и была Для просмотра ссылки Войдиили Зарегистрируйся компанией Proofpoint в марте 2022 года.
Для просмотра ссылки Войдиили Зарегистрируйся ESET, группировка Asylum Ambuscade в своих последних кампаниях использует специализированные фишинговые письма с вредоносными документами, которые запускают зловредный VBScript -код и эксплойт для уязвимости Для просмотра ссылки Войди или Зарегистрируйся . Эксплуатация приводит к установке вредоносной программы Sunseed, которая загружает вторичный модуль Akhbot с C2-сервера злоумышленников.
В 2023 году Asylum Ambuscade расширила свою целевую аудиторию, атакуя клиентов банков, трейдеров криптовалют, правительственные органы и различные малые и средние бизнесы в Северной Америке, Европе и Центральной Азии.
ESET отмечает, что хакеры также используют новые векторы компрометации, включая вредоносную рекламу Google, которая перенаправляет пользователей на сайты с вредоносным JavaScript -кодом. Кроме того, с марта 2023 года хакеры начали применять новый инструмент Nodebot, который является портом Ahkbot на Node.js .
Вредоносная программа может делать скриншоты, вытаскивать пароли из браузеров Internet Explorer, Firefox и Chromium, а также загружать дополнительные плагины AutoHotkey на зараженное устройство. Эти плагины имеют различную функциональность, такую как загрузка Cobalt Strike , установка Chrome для hVNC , запуск кейлоггера, развёртывание инфостилера Rhadamanthys, запуск коммерчески доступного RAT и другое.
По оценкам ESET, Asylum Ambuscade заразила около 4500 жертв с января 2022 года, что составляет примерно 265 жертв в месяц. Это делает данную группу весьма серьезной угрозой для организаций по всему миру.
Цели и мотивы Asylum Ambuscade пока остаются неясными. Хотя хакеры явно нацелены на криптовалюты и банковские счета для получения прибыли, заражение SMB-компаний может также указывать на кибершпионаж.
Возможно, хакеры продают доступ к сетям этих компаний другим киберпреступникам для внедрения, например, вымогательского софта, однако ESET не нашла никаких доказательств этой гипотезы.
Группировка злоумышленников, известная как Asylum Ambuscade, занимается кибершпионажем и киберпреступностью, атакуя малые и средние компании по всему миру. Эта группа действует с 2020 года и была Для просмотра ссылки Войди
Для просмотра ссылки Войди
В 2023 году Asylum Ambuscade расширила свою целевую аудиторию, атакуя клиентов банков, трейдеров криптовалют, правительственные органы и различные малые и средние бизнесы в Северной Америке, Европе и Центральной Азии.
ESET отмечает, что хакеры также используют новые векторы компрометации, включая вредоносную рекламу Google, которая перенаправляет пользователей на сайты с вредоносным JavaScript -кодом. Кроме того, с марта 2023 года хакеры начали применять новый инструмент Nodebot, который является портом Ahkbot на Node.js .
Вредоносная программа может делать скриншоты, вытаскивать пароли из браузеров Internet Explorer, Firefox и Chromium, а также загружать дополнительные плагины AutoHotkey на зараженное устройство. Эти плагины имеют различную функциональность, такую как загрузка Cobalt Strike , установка Chrome для hVNC , запуск кейлоггера, развёртывание инфостилера Rhadamanthys, запуск коммерчески доступного RAT и другое.
По оценкам ESET, Asylum Ambuscade заразила около 4500 жертв с января 2022 года, что составляет примерно 265 жертв в месяц. Это делает данную группу весьма серьезной угрозой для организаций по всему миру.
Цели и мотивы Asylum Ambuscade пока остаются неясными. Хотя хакеры явно нацелены на криптовалюты и банковские счета для получения прибыли, заражение SMB-компаний может также указывать на кибершпионаж.
Возможно, хакеры продают доступ к сетям этих компаний другим киберпреступникам для внедрения, например, вымогательского софта, однако ESET не нашла никаких доказательств этой гипотезы.
- Источник новости
- www.securitylab.ru
