ترکیب دزدی های مالی و جاسوسی سایبری توسط گروهی جدید

به گزارش کارگروه بین الملل خبرگزاری سایبربان، محققان مجموعه‌ای از حملات با انگیزه مالی و گروهی از فعالیت‌های جاسوسی مانند تهدید دائمی پیشرفته (APT) را به یک نهاد مجرمانه سایبری مرتبط می‌دانند؛ اگرچه قبلاً تصور می‌شد مجموعه‌های حملات کار دو عامل متفاوت باشد.
بر اساس تحلیل ایست (ESET) در این هفته، یک گروه جرایم سایبری که محققان آن را آسیلوم آمباسکید (Asylum Ambuscade) نامیده‌اند، در مرز بین این دو انگیزه قرار دارد.
این گروه حداقل از سال 2020 فعال بوده است، اما تا زمانی که پروف پوینت (Proofpoint) اقدامات پیش بینی شده توسط تهدید دائمی پیشرفته در مارس 2022 را توضیح داد که کارکنان دولت اروپایی را که در کمک به پناهندگان اوکراینی قبل از تهاجم روسیه درگیر بودند، هدف قرار داده بود.
در آن کمپین، مهاجمان سایبری از فیشینگ نیزه‌ای برای سرقت اطلاعات محرمانه و اعتبار نامه‌های اینترنتی از پورتال‌های ایمیل رسمی دولتی استفاده کردند.
در همین حال، مجموعه‌ای از حملات جرایم سایبری با انگیزه مالی وجود داشته است که محققان ایست مشغول دنبال کردن آن هستند و مشتریان بانک‌ها و معامله‌گران ارزهای دیجیتال را هدف قرار می‌دهند و از ژانویه 2022 فعال هستند.
در آن زمان، این شرکت بیش از 4500 قربانی این کمپین‌های مرتبط را در سراسر جهان به ویژه در آمریکای شمالی، اما همچنین در آسیا، آفریقا، اروپا و آمریکای جنوبی، شمارش کرده است.

دو انگیزه، یک عامل جنایتکار سایبری
محققان ایست کشف کرده اند که نه تنها زنجیره سازش نرم افزارهای جنایی بسیار شبیه به کمپین های جاسوسی سایبری است که قبلاً شرح داده شده بود، بلکه استفاده از انواع بدافزار سفارشی به نام سانسید (SunSeed) و ای اچ کی بات (AHKBOT) نیز شباهت دارد.
تفاوت اصلی بردار سازش است، که در حملات مالی شامل تبلیغات مخرب گوگل به سبک "اسپری-اند-پری" و زنجیره های تغییر مسیر می شود.
طبق تحلیل ایست، زنجیره‌های سازش تقریباً در همه کمپین‌ها یکسان هستند.
ایست در تحلیل خود می گوید:

به طور خاص، سانسید و ای اچ کی بات به طور گسترده برای جرایم سایبری و جاسوسی سایبری استفاده شده اند و ما معتقد نیستیم که سانسید و ای اچ کی بات، کالاهایی هستند که توسط چندین عامل استفاده شوند و در بازار زیرزمینی فروخته شوند.

بنابراین، محققان به این نتیجه رسیدند که آسیلوم آمباسکید یک گروه جنایت سایبری است که در حال انجام برخی جاسوسی های سایبری از طرف دولتهاست و به نظر می رسد که هر از گاهی علیه دولت ها در آسیای مرکزی و اروپا نز کارهایی انجام می دهد.
مشخص نیست که این گروه یک گروه هکری برای استخدام، یک عامل تحت حمایت دولت، یا صرفاً فرصت طلبی خود محور است.
در هر صورت، محققان ایست به این نتیجه رسیدند:

گرفتن یک گروه جرایم سایبری که عملیات اختصاصی جاسوسی سایبری را انجام می‌دهند، کاملاً غیرعادی است، و به همین دلیل، ما معتقدیم که محققان باید فعالیت‌های آسیلوم آمباسکید را از نزدیک پیگیری کنند.

ممکن است غیرعادی باشد، اما باید توجه داشت که این اولین بار نیست که دو نیمه دنیای جرایم سایبری با هم ترکیب می شوند.
گروه بدنام تهدید دائمی پیشرفته لازاروس (Lazarus) کره شمالی نیز دست به سرقت رمزارز و سایر دزدی های مالی برای کمک به تأمین مالی رژیم در پیونگ یانگ می زند و در عین حال به عنوان یک عامل سایبری ظالم نیز عمل می کند.