Asylum Ambuscade APT IOCs

Asylum Ambuscade - киберпреступная группа, которая занималась кибершпионажем на стороне. Впервые они были публично раскрыты в марте 2022 года исследователями Proofpoint после того, как группа нацелилась на сотрудников европейских государственных органов, участвующих в помощи украинским беженцам, всего через несколько недель после начала российско-украинской войны. В этом блоге мы приводим подробности о кампании шпионажа в начале 2022 года и о многочисленных киберпреступных кампаниях в 2022 и 2023 годах.

• Asylum Ambuscade действует по меньшей мере с 2020 года.
• Это преступная группа, которая нацелена на клиентов банков и криптовалютных трейдеров в различных регионах, включая Северную Америку и Европу.
• Asylum Ambuscade также занимается шпионажем против правительственных организаций в Европе и Центральной Азии.
• Большинство имплантатов группы разработаны на скриптовых языках, таких как AutoHotkey, JavaScript, Lua, Python и VBS.

Indicators of Compromise

IPv4

• 104.234.118.163
• 104.248.149.122
• 109.107.173.72
• 116.203.252.67
• 128.199.82.141
• 139.162.116.148
• 141.105.64.121
• 146.0.77.15
• 146.70.79.117
• 157.254.194.225
• 157.254.194.238
• 172.104.94.104
• 172.105.235.94
• 172.105.253.139
• 172.64.80.1
• 172.86.75.49
• 176.124.214.229
• 176.124.217.20
• 185.123.53.49
• 185.150.117.122
• 185.163.45.221
• 185.70.184.44
• 185.82.126.133
• 193.109.69.52
• 193.142.59.152
• 193.142.59.169
• 194.180.174.51
• 195.133.196.230
• 195.2.81.70
• 212.113.106.27
• 212.113.116.147
• 212.118.43.231
• 213.109.192.230
• 23.106.123.119
• 31.192.105.28
• 45.132.1.238
• 45.147.229.20
• 45.76.211.131
• 45.77.185.151
• 46.151.24.197
• 46.151.24.226
• 46.151.25.15
• 46.151.25.49
• 46.151.28.18
• 46.17.98.190
• 5.230.68.137
• 5.230.71.166
• 5.230.72.148
• 5.230.72.38
• 5.230.73.241
• 5.230.73.247
• 5.230.73.248
• 5.230.73.250
• 5.230.73.57
• 5.230.73.63
• 5.252.118.132
• 5.252.118.204
• 5.255.88.222
• 5.39.222.150
• 5.44.42.27
• 51.83.182.153
• 51.83.189.185
• 62.204.41.171
• 62.84.99.195
• 77.83.197.138
• 79.137.196.121
• 79.137.197.187
• 80.66.88.155
• 84.32.188.29
• 84.32.188.96
• 85.192.49.106
• 85.192.63.126
• 85.192.63.13
• 85.239.60.40
• 88.210.10.62
• 89.107.10.7
• 89.208.105.255
• 89.41.182.94
• 91.245.253.112
• 94.103.83.46
• 94.140.114.133
• 94.140.114.230
• 94.140.115.44
• 94.232.41.108
• 94.232.41.96
• 94.232.43.214
• 98.142.251.226
• 98.142.251.26

Domains

• namesilo.my.id
• snowzet.com

SHA1

• 117ecfa95be19d5cf135a27aed786c98ec8ce50b
• 29604997030752919ea42b6d6cee8d3ae28f527e
• 2b42fd41a1c8ac12221857dd2df93164a71b95d7
• 384961e19624437eb4eb22b1bf45953d7147fb8f
• 3e38d54cc55a48a3377a7e6a0800b09f2e281978
• 441369397d0f8db755282739a05cb4cf52113c40
• 519e388182de055902c656b2d95ccf265a96ceab
• 5492061de582e71b2a5da046536d4150f6f497f1
• 557c5150a44f607ec4e7f4d0c0ed8ee6e9d12adf
• 57157c5d3c1bb3eb3e86b24b1f4240c867a5e94f
• 5f67279c195f5e8a35a24cbea76e25bad6ab6e8e
• 62fa77daef21772d599f2dc17dbba0906b51f2d9
• 64f5ac9f0c6c12f2a48a1cb941847b0662734fbf
• 7a78af75841c2a8d8a5929c214f08eb92739e9cb
• 7aa23e871e796f89c465537e6ece962412cda636
• 7db446b95d5198330b2b25e4ba6429c57942cfc9
• 7f8742778fc848a6fbcffec9011b477402544171
• 7fdb9a73b3f13dbd94d392132d896a5328daca59
• 95edc096000c5b8da7c8f93867f736928ea32575
• a9e3acfe029e3a80372c0bb6b7c500531d09edbe
• ac3afd14ad1aea9e77a84c84022b4022df1fc88b
• ad8143de4fc609608d8925478fd8ea3cd9a37c5d
• c554100c15ed3617ebfaab00c983ced5fec5db11
• c98061592de61e34da280ab179465580947890de
• d24a9c8a57c08d668f7d4a5b96fb7b5ba89d74c3
• d5f8acad643ee8e1d33d184daea0c8ea8e7fd6f8
• ee1cfedd75cba9028904c759740725e855aa46b5
• f2948c27f044fc6fb4849332657801f78c0f7d5e
• f85b82805c6204f34db0858e2f04da9f620a0277