Asylum Ambuscade Un outillage simple mais efficace
Lors des dernières assises de la sécurité, ESET a présenté les travaux de son centre de recherche sur le groupe Asylum Ambuscade qui sévit dans le cybercrime et le cyber espionnage avec un kit d’outils assez basique, mais qui reste efficace.
Le groupe QU'ESET a nommé Asylum Ambuscade s'est fait remarquer par des attaques sur des personnalités de pays limitrophes de l'ukraine, ou des organisations s'occupant des réfugiés ukrainiens. Clairement, les opérations étaient alignées sur les intérêts russes ou biélorusses, constate Mathieu Tartare, un expert D'ESET qui oeuvre dans le laboratoire de recherche de l'éditeur à Montréal. Cette attribution provient de chaînes de caractères en russe, découvertes dans les codes employés par Asylum Ambuscade.
Sur tous les fronts
Un point remarquable de ce groupe : il sévit à la fois dans le cybercrime et l'espionnage, ce qui est somme toute assez rare d'être sur l'ensemble de ces opérations. Il est actif depuis au moins 2020 et cible des particuliers, des petites et moyennes entreprises, des utilisateurs d'applications bancaires et de cryptomonnaies dans différentes régions, notamment en Amérique du Nord et en Europe. Depuis janvier 2022, ESET Research a recensé plus de 4 500 victimes dans le monde entier. Du côté espionnage, ESET a découvert des opérations avant 2022. ESET a découvert des compromissions antérieures de fonctionnaires gouvernementaux et d'employés d'entreprises publiques dans des pays d'asie centrale et en Arménie. En 2022, le groupe aurait ciblé des fonctionnaires gouvernementaux de plusieurs pays européens limitrophes de l'ukraine.
Selon les recherches D'ESET, les attaquants cherchaient à voler des informations confidentielles et des identifiants de messagerie électronique à partir de portails de messagerie électronique gouvernementaux officiels.
Un outillage assez simple
Les outils utilisés par le groupe sont assez simples et s'appuient sur des scripts VBS. Comme beaucoup de groupes, les attaques sont initiées après une campagne de spear phishing et une infection par des formats de documents usuels comme des fichiers doc ou xls. Ceux- ci téléchargent un installer ( MSI). Celui- ci devient persistant après son stockage sous la forme d'un fichier LNK dans le startup folder. Il contient les raccourcis vers des applications qui s'ouvrent lorsque vous avez signé un compte Windows 10 ou 11 local. Dans une étape suivante, un virus de type Sunseed ou ses variantes VBS sont installés. Ensuite, des malwares tels QU'AHKBOT sont téléchargés. Ce dernier est un téléchargeur qui peut être étendu avec des plugins pour espionner la machine de la victime. Ces plugins offrent diverses fonctionnalités, notamment la capture d'écran, l'enregistrement des frappes de clavier, le vol de mots de passe des navigateurs web, le téléchargement de fichiers et l'exécution d'un voleur d'informations. Une des particularités du groupe est de développer en permanence de nouveaux scripts ou de nouvelles variantes pour éviter les défenses mises en place. Il est même étonnant de constater que des tests de ces variantes ont été effectués sur la plateforme en ligne Virustotal, un service appartenant à Google qui permet l'analyse de fichiers suspects et facilite la détection rapide des virus, vers, chevaux de Troie et toute sorte de logiciels malveillants détectés par les moteurs antivirus ! Sur ces tests, le groupe essayait des fichiers publisher en commençant par des analyses statiques jusqu'à ce que ceux- ci ne soient plus détectés par la plateforme. Les attaques suivent une fréquence assez identifiable, avec des pics environ tous les 2 mois, ce qui correspond fortement à des cycles de sprints de développement. Finalement, le groupe emploie des outils peu sophistiqués, mais les remet à jour régulièrement pour éviter les détections. Certaines de ses pratiques sont parfois à la limite du professionnalisme pour un groupe cybercriminel, mais son outillage et ses méthodes restent cependant assez efficaces même si la fin des VBS dans les prochaines versions de Windows va un peu freiner le groupe du fait du but avoué de Microsoft d'aider les utilisateurs de ses produits à bloquer plus facilement la diffusion de logiciels malveillants sur leurs appareils.