Uma entidade financeira no Vietnã foi cândido de um ator de prenúncio anteriormente indocumentado chamado Pista de Lótus que foi detectado pela primeira vez em março de 2023.
O Group-IB, com sede em Cingapura, descreveu o grupo de hackers uma vez que um grupo avançado de ameaças persistentes que se acredita estar ativo desde pelo menos 2022.
As especificidades exactas da masmorra de infecção permanecem desconhecidas ainda, mas envolve a utilização de vários artefactos maliciosos que servem de trampolim para a próxima tempo.
“Os cibercriminosos usaram métodos uma vez que carregamento lateral de DLL e troca de dados por meio de pipes nomeados para executar executáveis maliciosos e fabricar tarefas agendadas remotas para movimentação lateral”, disse a empresa.
O Group-IB disse ao The Hacker News que as técnicas usadas pelo Lotus Bane se sobrepõem às do OceanLotus, um ator de prenúncio desempenado ao Vietnã, também espargido uma vez que APT32, Canvas Cyclone (anteriormente Bismuth) e Cobalt Kitty. Isso decorre do uso de malware uma vez que o PIPEDANCE para informação de pipes nomeados.
É importante notar que o PIPEDANCE foi documentado pela primeira vez pelo Elastic Security Labs em fevereiro de 2023 em conexão com um ataque cibernético contra uma organização vietnamita não identificada no final de dezembro de 2022.
“Essa semelhança sugere possíveis conexões ou inspirações na OceanLotus, no entanto, os diferentes setores-alvo tornam provável que sejam diferentes”, disse Anastasia Tikhonova, superintendente de Perceptibilidade de Ameaças para APAC no Group-IB.
“O Lotus Bane está ativamente envolvido em ataques visando principalmente o setor bancário na região da APAC. Embora o ataque espargido tenha ocorrido no Vietnã, a sofisticação de seus métodos indica o potencial para operações geográficas mais amplas dentro da APAC. A duração exata de sua atividade antes disso A invenção ainda não está clara, mas as investigações em curso podem lançar mais luz sobre sua história”.
O desenvolvimento ocorre no momento em que organizações financeiras na Ásia-Pacífico (APAC), Europa, América Latina (LATAM) e América do Setentrião têm sido cândido de vários grupos avançados de ameaças persistentes, uma vez que Blind Eagle e Lazarus Group, no ano pretérito.
Outro grupo notável de ameaças com motivação financeira é o UNC1945, que foi observado visando servidores de switch ATM com o objetivo de infectá-los com um malware personalizado chamado CAKETAP.
“Oriente malware intercepta dados transmitidos do servidor ATM para o servidor (Módulo de Segurança de Hardware) e os verifica em relação a um conjunto de condições predefinidas”, disse o Group-IB. “Se essas condições forem atendidas, os dados serão alterados antes de serem enviados do servidor ATM.”
UNC2891 e UNC1945 foram previamente detalhados pela Mandiant, de propriedade do Google, em março de 2022, uma vez que tendo implantado o rootkit CAKETAP em sistemas Oracle Solaris para interceptar mensagens de uma rede de permutação ATM e realizar saques não autorizados de moeda em diferentes bancos usando cartões fraudulentos.
“A presença e as atividades do Lotus Bane e do UNC1945 na região APAC destacam a premência de vigilância contínua e medidas robustas de segurança cibernética”, disse Tikhonova. “Esses grupos, com suas táticas e alvos distintos, sublinham a dificuldade da proteção contra ameaças cibernéticas financeiras no cenário do dedo atual.”
