Während sich die Hackergruppe Asylum Ambuscade in der Vergangenheit auf Cyberkriminalität konzentrierte, hat sich diese nun auch auf Cyberspionage-Operationen spezialisiert. In der Vergangenheit fiel die Gruppe eher durch Attacken auf kleine und mittlere Unternehmen sowie Einzelpersonen in Nordamerika und Europa auf.
Zuletzt entdeckte ESET zahlreiche Angriffe auf Regierungsbeamte und Mitarbeiter staatlicher Unternehmen in Osteuropa. Der Schwerpunkt lag dabei auf Staaten, die an die Ukraine grenzen. Die Experten vermuten, dass es den Angreifern darum ging, vertrauliche Daten und Webmail-Zugangsdaten zu stehlen.
„Es scheint, dass sich die Hacker bei Asylum Ambuscade aufgeteilt haben und nebenbei einige Cyberspionage-Kampagnen gegen Regierungen in Zentralasien und Europa durchführen. Es ist recht ungewöhnlich, dass eine Cybercrime-Gruppe spezielle Spionage-Operationen durchführt. Wir sind daher der Meinung, dass Forscher ihre Aktivitäten genau im Auge behalten sollten“, erklärt Matthieu Faou, ESET-Forscher, der Asylum Anbuscade untersucht hat.
Spionageaktivitäten der Gruppe seit 2022
Seit 2022 nimmt die Asylum Ambuscade gezielt Regierungsmitarbeiter in osteuropäischen Ländern ins Visier, die an die Ukraine grenzen. Die ersten Attacken begannen mit Spearphishing-Mails, die einen schädlichen Anhang mit einer Excel- oder Word-Datei enthielten. Wurde der Rechner als interessant eingestuft, setzten die Angreifer schließlich AHKBOT ein, einen Downloader, der mit Plugins erweitert werden kann, um den Computer des Opfers auszuspionieren. Diese Plugins bieten verschiedene Funktionen, darunter das Erstellen von Screenshots, das Aufzeichnen von Tastatureingaben, das Stehlen von Passwörtern aus Webbrowsern, das Herunterladen von Dateien und das Ausführen eines Infostealers.
„Die Angriffskette der Crimeware-Aktivitäten von Asylum Ambuscade ist im Großen und Ganzen sehr ähnlich zu der, die wir bei ihren Cyberspionage-Kampagnen sehen. Der Hauptunterschied ist der Angriffsvektor, bei dem es sich um eine bösartige Google-Anzeige handeln könnte, die auf eine Website umleitet, die eine bösartige JavaScript-Datei oder mehrere HTTP-Weiterleitungen enthält“, fügt Faou hinzu.
Über Asylum Ambuscade
Asylum Ambuscade ist durch ihre Cyberspionage-Operationen ins Rampenlicht gerückt ist. Seit Anfang 2020 hatte die Gruppe hauptsächlich Cyberkriminalitätskampagnen durchgeführt. Von Januar 2022 bis heute hat ESET Research weltweit mehr als 4.500 Opfer gezählt. Die meisten von ihnen befinden sich in Nordamerika, aber es gibt auch Opfer in Asien, Afrika, Europa und Südamerika. Die Zielgruppen sind sehr breit gefächert und umfassen hauptsächlich Einzelpersonen, Kryptowährungshändler, Bankkunden und KMUs in verschiedenen Branchen.
Die gesamte Analyse zu den neuen Aktivitäten von Asylum Ambuscade ist auf WeLiveSecurity verfügbar.
www.eset.com/de