威胁情报信息分享|Asylum Ambuscade：一支具有APT倾向的网络犯罪组织

被称为“Asylum Ambuscade”（被翻译为庇护伏击）的APT组织至少从2020年初就被观察到在网络犯罪和网络APT行动之间游走。

ESET在周四发布的一份分析中表示，“它是一个犯罪软件组织，针对包括北美和欧洲在内的各个地区的银行客户和加密货币交易者。”“Asylum Ambuscade”也对欧洲和中亚的政府实体进行间谍活动。”

“Asylum Ambuscade”最早在2022年3月由Proofpoint记录为一个针对欧洲政府实体的国家赞助的网络钓鱼活动，试图获取关于该地区的难民和供应物资运动的情报。

这个斯洛伐克网络安全公司表示，攻击者的目标是从官方政府电子邮件门户中窃取机密信息和网络电子邮件凭证。

攻击以一封带有恶意Excel电子表格附件的鱼叉式网络钓鱼电子邮件开始，当这个附件被打开时，它要么利用VBA代码，要么利用Follina漏洞（CVE-2022-30190）从远程服务器下载一个MSI包。

该安装程序部署一个用Lua编写的下载器，称为SunSeed（或其Visual Basic脚本等效物），该下载器反过来从远程服务器检索一个名为AHK Bot的基于AutoHotkey的恶意软件。

值得注意的是，“Asylum Ambuscade”的网络犯罪狂潮自2022年1月以来已经造成全球超过4500名受害者，其中大部分位于北美、亚洲、非洲、欧洲和南美。

ESET研究员Matthieu Faou表示，“被攻击的目标非常广泛，主要包括个人、加密货币交易者以及各种行业的中小型企业（SMBs）。”

虽然攻击的一个方面是设计来窃取加密货币，但是对SMBs的攻击很可能是试图通过将访问权出售给其他网络犯罪团体以获取非法利润。

妥协链条遵循类似的模式，除了初始的入侵向量，其中包括使用一个流氓的Google广告或流量导向系统（TDS）将潜在的受害者重定向到一个提供恶意JavaScript文件的伪造网站。

这些攻击还利用了一个名为NODEBOT的Node.js版本的AHK Bot，该Bot用于下载负责截屏、掠夺密码、收集系统信息和安装其他木马和窃取器的插件。

考虑到网络犯罪和间谍行动的攻击链几乎完全相同，人们怀疑“Asylum Ambuscade是一个正在进行一些网络间谍活动的网络犯罪团体”。

这些重叠也扩展到另一个被称为Screentime的活动群，该群以特制的恶意软件攻击美国和德国的公司，窃取机密信息。Proofpoint正在以TA866的名字追踪这个威胁行为体。

Faou说，“抓到一个网络犯罪组织运行专门的网络APT行动是相当不寻常的，”这在威胁图谱中使其有些罕见。

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|Asylum Ambuscade：一支具有APT倾向的网络犯罪组织