Comment Asylum Ambuscade est passé du hacking à l’espionnage
(2023/06/23)
- Reference: 2023-06-23T03_30_00Z
- News link: https://www.toolinux.com/?comment-asylum-ambuscade-est-passe-du-hacking-a-l-espionnage
- Source link:
Comment Asylum Ambuscade est passé du hacking à l’espionnage
vendredi 23 juin 2023
Asylum Ambuscade mène ses campagnes de cyber espionnage depuis au moins 2020. L’an dernier, le groupe aurait ciblé des responsables gouvernementaux dans plusieurs pays européens voisins de l’Ukraine, rapporte ESET Research. Quel modus operandi ?
Asylum Ambuscade est un groupe de logiciels criminels actif depuis au moins 2020. Il cible les particuliers, les PME, les clients des banques et les vendeurs de crypto-monnaies dans diverses régions, y compris l’Amérique du Nord et l’Europe. Mais ses actions vont bien au-delà : le groupe espionne aussi des entités gouvernementales en Europe et en Asie centrale : en 2022, le groupe aurait ciblé des responsables gouvernementaux dans plusieurs pays européens, voisins de l’Ukraine, [1]explique ESET Research.
« Il semble qu’Asylum Ambuscade se diversifie avec, de temps à autre en parallèle, de récentes campagnes de cyber espionnage contre des gouvernements d’Asie centrale et d’Europe. C’est assez inhabituel d’attraper un groupe de cybercriminalité menant des opérations de cyber espionnage dédiées . Nous pensons donc que les chercheurs doivent suivre de près ses activités » - Matthieu Faou, chercheur chez ESET.
En 2022, lorsque le groupe a ciblé des responsables gouvernementaux dans plusieurs pays européens voisins de l’Ukraine, la chaîne de compromis a commencé par un e-mail de harponnage contenant une feuille de calcul Excel malveillante ou un document Word en pièce jointe. Si la machine ciblée était jugée intéressante, les attaquants déployaient AHKBOT, un téléchargeur pouvant être prolongé par des plugins pour espionner la machine de la victime. Ces plugins disposent de diverses fonctionnalités dont la prise de captures d’écran, l’enregistrement de frappes au clavier, le vol de mots de passe depuis des navigateurs Web, le téléchargement de fichiers et l’exécution d’un infostealer .
« Dans son ensemble, la chaîne de compromission des logiciels criminels d’Asylum Ambuscade est, très similaire à celle que nous voyons pour leurs campagnes de cyber espionnage. La principale différence est le vecteur de compromission, qui peut être une annonce Google malveillante redirigeant vers un site Web qui délivre un fichier JavaScript malveillant ou plusieurs redirections HTTP . »
[2]
[1] https://www.welivesecurity.com/2023/06/08/asylum-ambuscade-crimeware-or-cyberespionage/
[2] https://www.toolinux.com/?comment-asylum-ambuscade-est-passe-du-hacking-a-l-espionnage#forum
vendredi 23 juin 2023
Asylum Ambuscade mène ses campagnes de cyber espionnage depuis au moins 2020. L’an dernier, le groupe aurait ciblé des responsables gouvernementaux dans plusieurs pays européens voisins de l’Ukraine, rapporte ESET Research. Quel modus operandi ?
Asylum Ambuscade est un groupe de logiciels criminels actif depuis au moins 2020. Il cible les particuliers, les PME, les clients des banques et les vendeurs de crypto-monnaies dans diverses régions, y compris l’Amérique du Nord et l’Europe. Mais ses actions vont bien au-delà : le groupe espionne aussi des entités gouvernementales en Europe et en Asie centrale : en 2022, le groupe aurait ciblé des responsables gouvernementaux dans plusieurs pays européens, voisins de l’Ukraine, [1]explique ESET Research.
« Il semble qu’Asylum Ambuscade se diversifie avec, de temps à autre en parallèle, de récentes campagnes de cyber espionnage contre des gouvernements d’Asie centrale et d’Europe. C’est assez inhabituel d’attraper un groupe de cybercriminalité menant des opérations de cyber espionnage dédiées . Nous pensons donc que les chercheurs doivent suivre de près ses activités » - Matthieu Faou, chercheur chez ESET.
En 2022, lorsque le groupe a ciblé des responsables gouvernementaux dans plusieurs pays européens voisins de l’Ukraine, la chaîne de compromis a commencé par un e-mail de harponnage contenant une feuille de calcul Excel malveillante ou un document Word en pièce jointe. Si la machine ciblée était jugée intéressante, les attaquants déployaient AHKBOT, un téléchargeur pouvant être prolongé par des plugins pour espionner la machine de la victime. Ces plugins disposent de diverses fonctionnalités dont la prise de captures d’écran, l’enregistrement de frappes au clavier, le vol de mots de passe depuis des navigateurs Web, le téléchargement de fichiers et l’exécution d’un infostealer .
« Dans son ensemble, la chaîne de compromission des logiciels criminels d’Asylum Ambuscade est, très similaire à celle que nous voyons pour leurs campagnes de cyber espionnage. La principale différence est le vecteur de compromission, qui peut être une annonce Google malveillante redirigeant vers un site Web qui délivre un fichier JavaScript malveillant ou plusieurs redirections HTTP . »
[2]
[1] https://www.welivesecurity.com/2023/06/08/asylum-ambuscade-crimeware-or-cyberespionage/
[2] https://www.toolinux.com/?comment-asylum-ambuscade-est-passe-du-hacking-a-l-espionnage#forum