Компания ESET — лидер в области информационной безопасности — проанализировала группу киберпреступников Asylum Ambuscade, которая осуществляет кибершпионскую деятельность по меньшей мере с 2020 года. В частности, в прошлом году киберпреступники нацелились на представителей правительственных учреждений в нескольких европейских странах, которые граничат с Украиной.
Цель злоумышленников — кража конфиденциальной информации и учетных данных с официальных государственных порталов веб-почты.
Как правило, группа Asylum Ambuscade нацелена на малый и средний бизнес, а также на физических лиц в Северной Америке и Европе.
«Похоже, что Asylum Ambuscade расширяет свою деятельность, осуществляя недавние кибершпионские атаки на правительственные учреждения в Центральной Азии и Европе. Достаточно сложно отслеживать группу киберпреступников, которая проводит специализированные операции по кибершпионажу, так что исследователи должны внимательно следить за ее деятельностью», — объясняет Мэтье Фау, исследователь ESET.
В 2022 году, когда группа нацелилась на представителей правительственных учреждений в нескольких европейских странах, которые граничат с Украиной, атака началась с электронного письма, что содержало вредоносный файл Excel или вложенный документ Word. Если устройство заинтересовало злоумышленников, они разворачивали загрузчик AHKBOT, который можно расширить плагинами для слежения за жертвой. Эти плагины предоставляют возможности, в частности осуществление снимков экрана, запись нажатий клавиш, похищение паролей из веб-браузеров, загрузку файлов и запуск угроз для похищения данных.
С января 2022 года исследователи ESET насчитали более 4500 жертв во всем мире. Хотя большинство из них расположены в Северной Америке, следует отметить, что жертвы были также в Азии, Африке, Европе и Южной Америке. Целями киберпреступников преимущественно являются физические лица, трейдеры криптовалюты, банковские клиенты, а также малый и средний бизнес в разных отраслях.
«Цепь вредоносного программного обеспечения Asylum Ambuscade в целом достаточно похожа на ту, которая была обнаружена в кибершпионских атаках ранее. Основным отличием является вектор компрометации, которым может быть вредоносная реклама Google, что направляет на сайт с вредоносным файлом JavaScript или многими HTTP-редиректами», — добавляет исследователь ESET.
В связи с опасностью атак специалисты ESET рекомендуют соблюдать основные правила кибербезопасности, в частности, не открывать неизвестные письма и документы, использовать сложные пароли и двухфакторную аутентификацию, своевременно обновлять программное обеспечение, а также обеспечить надежную защиту домашних устройств и корпоративной сети.