Uma instituição financeira no Vietnã foi alvo de um ator de ameaça inédito chamado Lotus Bane que foi detectado pela primeira vez em março de 2023.
O Group-IB, com sede em Singapura, descreveu o grupo de hackers como um grupo de ameaça persistente avançada que se acredita estar ativo desde pelo menos 2022.
As especificidades exatas da cadeia de infecção ainda permanecem desconhecidas, mas envolvem o uso de vários artefatos maliciosos que servem como degrau para a próxima etapa.
"Os cibercriminosos usaram métodos como a lateralização de DLLs e troca de dados via named pipes para executar executáveis maliciosos e criar tarefas programadas remotas para movimento lateral", afirmou a empresa.
O Group-IB informou ao The Hacker News que as técnicas utilizadas pelo Lotus Bane se sobrepõem às de OceanLotus, um ator de ameaças alinhado ao Vietnã também conhecido como APT32, Canvas Cyclone (anteriormente Bismuth) e Cobalt Kitty.
Isso se deve ao uso de malwares como o PIPEDANCE para comunicação via named pipes.
Vale a pena notar que o PIPEDANCE foi documentado pela primeira vez pela Elastic Security Labs em fevereiro de 2023, em conexão com um ataque cibernético direcionado a uma organização vietnamita não nomeada em final de dezembro de 2022.
"Esta similaridade sugere possíveis conexões com ou inspirações do OceanLotus, no entanto, as diferentes indústrias-alvo fazem com que seja provável que sejam diferentes", disse Anastasia Tikhonova, chefe de Inteligência de Ameaças para APAC na Group-IB.
"Lotus Bane está ativamente envolvido em ataques direcionados principalmente ao setor bancário na região APAC (Ásia-Pacífico).
Embora o ataque conhecido tenha ocorrido no Vietnã, a sofisticação de seus métodos indica o potencial para operações geográficas mais amplas dentro da APAC.
A duração exata de sua atividade antes desta descoberta não é clara, mas as investigações em curso podem dar mais luz sobre seu histórico."
Este desenvolvimento acontece em um momento em que organizações financeiras em toda a Ásia-Pacífico (APAC), Europa, América Latina (LATAM) e América do Norte têm sido alvo de vários grupos de ameaças persistentes avançadas, como Blind Eagle e Lazarus Group ao longo do último ano.
Outro grupo de ameaça notável motivado financeiramente é o UNC1945, que foi observado visando servidores de switch ATM com o objetivo de infectá-los com um malware personalizado chamado CAKETAP.
"Este malware intercepta dados transmitidos do servidor ATM para o servidor [Hardware Security Module] e os verifica contra um conjunto de condições predefinidas", disse o Group-IB.
"Se essas condições são atendidas, os dados são alterados antes de serem enviados do servidor ATM."
UNC2891 e UNC1945 foram detalhados anteriormente pela Mandiant, controlada pelo Google, em março de 2022 como tendo implantado o rootkit CAKETAP em sistemas Oracle Solaris para interceptar mensagens de uma rede de comutação de ATMs e realizar saques em dinheiro não autorizados em bancos diferentes usando cartões fraudulentos.
"A presença e as atividades tanto do Lotus Bane quanto do UNC1945 na região APAC destacam a necessidade de vigilância constante e robustas medidas de segurança cibernética", disse Tikhonova.
"Estes grupos, com suas táticas e alvos distintos, destacam a complexidade de se proteger contra ameaças financeiras cibernéticas na paisagem digital atual."
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...