Cyberthreat - Aktor ancaman yang dikenal sebagai Asylum Ambuscade diamati mengangkangi operasi kejahatan dunia maya dan spionase dunia maya setidaknya sejak awal 2020.

"Ini adalah kelompok perangkat kejahatan yang menargetkan pelanggan bank dan pedagang mata uang kripto di berbagai wilayah, termasuk Amerika Utara dan Eropa," kata ESET dalam sebuah analisis yang diterbitkan Kamis lalu sebagaimana dikutip The Hacker News.

"Asylum Ambuscade juga melakukan spionase terhadap entitas pemerintah di Eropa dan Asia Tengah."

Asylum Ambuscade pertama kali didokumentasikan oleh Proofpoint pada Maret 2022 sebagai kampanye phishing yang disponsori negara-bangsa yang menargetkan entitas pemerintah Eropa dalam upaya untuk mendapatkan intelijen tentang pergerakan pengungsi dan pasokan di wilayah tersebut.

Tujuan penyerang, menurut firma keamanan siber Slovakia, adalah menyedot informasi rahasia dan kredensial email web dari portal email resmi pemerintah.

Serangan dimulai dengan email spear-phishing yang memuat lampiran spreadsheet Excel berbahaya yang, ketika dibuka, mengeksploitasi kode VBA atau kerentanan Follina (CVE-2022-30190) untuk mengunduh paket MSI dari server jarak jauh.

Pemasang, untuk bagiannya, menyebarkan pengunduh yang ditulis dalam Lua yang disebut SunSeed (atau yang setara dengan Visual Basic Script) yang, pada gilirannya, mengambil malware berbasis AutoHotkey yang dikenal sebagai AHK Bot dari server jarak jauh.

Apa yang penting tentang Asylum Ambuscade adalah kejahatan dunia maya yang telah merenggut lebih dari 4.500 korban di seluruh dunia sejak Januari 2022, dengan mayoritas dari mereka berada di Amerika Utara, Asia, Afrika, Eropa, dan Amerika Selatan.

“Targetnya sangat luas dan sebagian besar mencakup individu, pedagang cryptocurrency, dan usaha kecil dan menengah (UKM) di berbagai vertikal,” kata peneliti ESET Matthieu Faou.

Sementara salah satu aspek serangan dirancang untuk mencuri cryptocurrency, penargetan UKM kemungkinan merupakan upaya untuk memonetisasi akses dengan menjualnya ke kelompok penjahat dunia maya lain untuk mendapatkan keuntungan ilegal.

Rantai penyusupan mengikuti pola serupa yang melarang vektor intrusi awal, yang memerlukan penggunaan Google Ad nakal atau sistem pengarahan lalu lintas (TDS) untuk mengarahkan calon korban ke situs web palsu yang mengirimkan file JavaScript yang mengandung malware.

Serangan tersebut juga menggunakan AHK Bot versi Node.js dengan kode nama NODEBOT yang kemudian digunakan untuk mengunduh plugin yang bertanggung jawab untuk mengambil tangkapan layar, menjarah kata sandi, mengumpulkan informasi sistem, dan memasang trojan dan pencuri tambahan.

Mengingat rantai serangan yang hampir identik di seluruh upaya kejahatan dunia maya dan spionase, diduga bahwa "Asylum Ambuscade adalah kelompok kejahatan dunia maya yang melakukan spionase dunia maya sebagai sampingan."

Tumpang tindih juga meluas ke cluster aktivitas lain yang dijuluki Screentime yang diketahui menargetkan perusahaan di AS dan Jerman dengan malware pesanan yang dirancang untuk mencuri informasi rahasia. Proofpoint melacak pelaku ancaman dengan nama TA866.

“Sangat tidak biasa untuk menangkap kelompok kejahatan dunia maya yang menjalankan operasi spionase dunia maya khusus,” kata Faou, menjadikannya agak langka dalam lanskap ancaman.[]