Asylum Ambuscade ist eine Cybercrime-Gruppe, die nebenbei Cyberspionage-Operationen durchführt. Wenige Wochen nach Beginn des Ukraine-Krieges nahm die Gruppe europäische Regierungsmitarbeiter ins Visier, die an der Hilfe für ukrainische Flüchtlinge beteiligt waren. Das Ziel der Angreifer bestand wahrscheinlich darin, an vertrauliche Informationen und Webmail-Anmeldedaten von offiziellen Webmail-Portalen der entsendenden Regierungen zu gelangen.
Die Kompromittierungskette begann mit einer Spearphishing-E-Mail mit angehängter Excel-Datei. Der darin enthaltene schädliche VBA-Code hat ein MSI-Paket von einem Remote-Server heruntergeladen und dann SunSeed, einen in Lua geschriebenen Downloader unbemerkt im Hintergrund installiert. Ab Juni 2022 nutzte die Gruppe für ihre Angriffe anstelle des bösartigen VBA-Codes einen Exploit der Follina-Schwachstelle (CVE-2022-30190).
Scheint das Opfersystem nach erfolgreicher Kompromittierung aus Angreifersicht interessant zu sein, setzen diese im nächsten Schritt AHKBOT ein. Hierbei handelt es sich um einen in der Skriptsprache AutoHotkey geschriebenen Downloader, der mit Plugins erweitert werden kann, um den Computer des Opfers auszuspionieren.
Obwohl die Gruppe aufgrund ihrer Cyberspionage-Operationen weltweit Aufmerksamkeit erregte, führt sie seit Anfang 2020 vor allem Cybercrime-Kampagnen durch. Das Ziel dieser Kampagnen ist die Devisenbeschaffung. Seit Januar 2022 wurden weltweit mehr als 4.500 Opfer registriert.
Die Zielgruppe ist breit gefächert und umfasst unter anderem kleine und mittlere Unternehmen (KMU) aus verschiedenen Branchen. Die Malware (Schadsoftware), die die Gruppe ausschließlich für Cybercrime-Zwecke verwendet, ähnelt stark der eingesetzten Malware, die sie für ihre Cyberspionagekampagnen verwendet. Die methodischen und technischen Unterschiede liegen hier alleine im Einfallsvektor sowie in der Skriptsprache der jeweils eingesetzten Malware.
Aufgrund der nachfolgenden Feststellungen gehen wir davon aus, dass die Cybercrime- und Cyberspionagekampagnen von derselben Angreifergruppierung durchgeführt werden:
- Die Angriffe verlaufen in allen Kampagnen der Gruppe nahezu identisch.
- Tools, wie z. B. AHKBOT, wurden in großen Umfang sowohl für Cybercrime als auch für Cyberspionage verwendet.
- Es ist unwahrscheinlich, dass die eingesetzten Tools auf Underground-Märkten verkauft werden, da diese im Vergleich zu anderen zum Verkauf stehenden Crimeware-Tools nicht sehr ausgefeilt sind. Daneben ist die Zahl der Opfer relativ gering, weshalb wir nicht davon ausgehen, dass die Tools von mehreren Gruppen gemeinsam genutzt werden.
- Die für die Angriffe verwendete Netzwerkinfrastruktur ist in allen Kampagnen einheitlich (völlig gleich).
Auch deutsche Entitäten können jederzeit ins Fadenkreuz von Ayslum Ambuscade geraten. Die Cyberabwehr des Landesamts für
Verfassungsschutz rät daher zur Prüfung und Härtung eigener Systeme anhand der Indicators of Compromise/IoC, die welivesecurity auf ihrer Homepage
zur Verfügung stellen.