Il gruppo di cybercriminali noto come Asylum Ambuscade è stato osservato mentre operava tra le operazioni di cybercriminalità e di spionaggio cibernetico dal 2020. “È un gruppo di crimeware che prende di mira i clienti delle banche e i trader di criptovalute in varie regioni, tra cui Nord America ed Europa”, ha dichiarato ESET in un’analisi pubblicata giovedì. “Asylum Ambuscade fa anche spionaggio contro entità governative in Europa e Asia centrale.”
Dettagli delle operazioni
Asylum Ambuscade è stato documentato per la prima volta da Proofpoint nel marzo 2022 come una campagna di phishing sponsorizzata da uno stato-nazione che prendeva di mira entità governative europee nel tentativo di ottenere informazioni sull’andamento dei rifugiati e dei rifornimenti nella regione. L’obiettivo degli aggressori, secondo la società di cybersecurity slovacca, è sottrarre informazioni riservate e credenziali di posta elettronica web dai portali di posta elettronica ufficiali del governo.
Il modus operandi
Gli attacchi iniziano con un’email di spear-phishing contenente un allegato di un foglio di calcolo Excel malevolo che, quando aperto, sfrutta il codice VBA o la vulnerabilità Follina (CVE-2022-30190) per scaricare un pacchetto MSI da un server remoto. L’installer, a sua volta, distribuisce un downloader scritto in Lua chiamato SunSeed (o il suo equivalente in Visual Basic Script) che, a sua volta, recupera un malware basato su AutoHotkey noto come AHK Bot da un server remoto.
