פורסם מחקר חדש אודות התרחבות פעולות קבוצת התקיפה Asylum Ambuscade
מאת:
מערכת Telecom News, 14.6.23, 12:13
מטרת הקמפיינים היעודיים לריגול סייבר לגנוב מידע מסווג ופרטי גישה לתיבות דוא״ל מקוונות מפורטלים רשמיים של ממשלות ושל ספקי שירותי דוא״ל מקוון, בנוסף למתקפות על עסקים קטנים-בינוניים ואנשים פרטיים.
חברת אבטחת המידע
ESET פרסמה מחקר חדש אודות קבוצת
Asylum Ambuscade, קבוצת פשיעת סייבר, שעסקה בפעולות ריגול סייבר כעיסוק משני. הקבוצה הפעילה קמפיינים של ריגול סייבר החל מ-2020 לכל הפחות.
החברה איתרה פריצות קודמות אצל פקידים ממשלתיים ואצל עובדים בחברות ממשלתיות במדינות מרכז-אירופאיות ובארמניה. על פי הדיווחים, ב-2022 הקבוצה תקפה פקידי ממשל במספר מדינות אירופאיות הגובלות באוקראינה.
גוף המחקר של החברה מעריך, שמטרתם של התוקפים היא לגנוב מידע מסווג ופרטי גישה לתיבות דוא״ל מקוונות מפורטלים רשמיים של ממשלות ושל ספקי שירותי דוא״ל מקוון. בד"כ, קבוצת
Asylum Ambuscade ממקדת את מתקפותיה בעסקים קטנים-בינוניים ובאנשים פרטיים בצפון אמריקה ובאירופה.
ב-2022, כשהקבוצה תקפה פקידי ממשל במספר מדינות אירופאיות הגובלות באוקראינה, שרשרת הפריצה החלה בהודעת דוא״ל מסוג דיוג ממוקד (
Spearphishing), שכללה קובץ מצורף זדוני מסוג
Excel או
Word. אם המחשב נמצא ״מעניין״, התוקפים הפעילו כלי המכונה
AHKBOT, כלי הורדה, שניתן להוסיף לו תוספים, שנועדו לרגל אחרי המחשב של הקורבן. תוספים אלה מאפשרים יכולות מגוונות, ביניהן צילום המסך, מעקב אחר ההקשות במקלדת, גניבת סיסמאות מדפדפני אינטרנט, הורדת קבצים וגניבת מידע.
אמנם, הקבוצה נכנסה לאור הזרקורים בגלל פעילויות ריגול הסייבר שלה, אך במרבית הזמן והחל מ-2020 היא הפעילה בעיקר קמפיינים של פשיעת סייבר. החל מינואר 2022, גוף המחקר של החברה הצליח למנות מעל 4,500 קורבנות של הקבוצה ברחבי העולם.
אמנם, רוב הקורבנות נמצאים בצפון אמריקה, אך חשוב לציין שהתגלו קורבנות גם באסיה, אפריקה ודרום אמריקה. טווח המטרות הוא רחב במיוחד וכולל בעיקר אנשים פרטיים, סוחרים במטבעות דיגיטליים, לקוחות בנקים ועסקים קטנים-בינוניים מתעשיות שונות.
מתיו פאו, שחקר את פעולותיה של הקבוצה: ״נראה, שקבוצת
Asylum Ambuscade מתרחבת ומפעילה מפעם לפעם מספר קמפיינים לריגול סייבר, שהחלו לאחרונה כעיסוק צדדי, ומופנים כלפי ממשלות במרכז אסיה ובאירופה. זה די חריג לתפוס קבוצת פשעי סייבר המבצעת פעולות ריגול סייבר ייעודיות. לכן, החוקרים צריכים לעקוב אחרי פעילויותיה מקרוב.
שרשרת האירועים של מתקפת פשיעת סייבר של קבוצת
Asylum Ambuscade דומה באופן כללי לזו של מתקפות ריגול הסייבר שלה. ההבדל העיקרי הוא וקטור התקיפה, שעלול להיות מודעה זדונית בגוגל המפנה לאתר אינטרנט הכולל קובץ
JavaScript זדוני או הפניות
HTTP מרובות".
המחקר המלא -
כאן.