Una entidad financiera en Vietnam fue el objetivo de un actor de amenazas previamente indocumentado llamado Carril del loto que se detectó por primera vez en marzo de 2023.
Group-IB, con sede en Singapur, describió al equipo de piratería como un grupo de amenazas persistentes avanzadas que se cree que ha estado activo desde al menos 2022.
Los detalles exactos de la cadena de infección aún se desconocen, pero implica el uso de varios artefactos maliciosos que sirven como trampolín para la siguiente etapa.
«Los ciberdelincuentes utilizaron métodos como la carga lateral de DLL y el intercambio de datos a través de canalizaciones con nombre para ejecutar ejecutables maliciosos y crear tareas remotas programadas para el movimiento lateral», dijo la empresa. dicho.
Group-IB dijo a The Hacker News que las técnicas utilizadas por Lotus Bane se superponen con las de océanoloto, un actor de amenazas alineado con Vietnam también conocido como APT32, Canvas Cyclone (anteriormente Bismuth) y Cobalt Kitty. Esto se debe al uso de malware como PIPEDANCE para la comunicación de canalizaciones con nombre.
Vale la pena señalar que PIPEDANCE fue documentado por primera vez por Elastic Security Labs en febrero de 2023 en relación con un ciberataque dirigido a una organización vietnamita anónima a finales de diciembre de 2022.
«Esta similitud sugiere posibles conexiones o inspiraciones en OceanLotus; sin embargo, las diferentes industrias objetivo hacen probable que sean diferentes», dijo Anastasia Tikhonova, jefa de Inteligencia de Amenazas para APAC en Group-IB.
«Lotus Bane participa activamente en ataques dirigidos principalmente al sector bancario en la región APAC. Aunque el ataque conocido fue en Vietnam, la sofisticación de sus métodos indica el potencial para operaciones geográficas más amplias dentro de APAC. La duración exacta de su actividad antes de esto El descubrimiento no está claro actualmente, pero las investigaciones en curso pueden arrojar más luz sobre su historia».
El desarrollo se produce cuando las organizaciones financieras de Asia-Pacífico (APAC), Europa, América Latina (LATAM) y América del Norte han sido el objetivo de varios grupos de amenazas persistentes avanzadas, como Águila ciega y el Grupo Lázaro durante el año pasado.
Otro grupo de amenazas notable con motivación financiera es UNC1945, que se ha observado que apunta a servidores conmutadores de cajeros automáticos con el objetivo de infectarlos con un malware personalizado llamado CAKETAP.
«Este malware intercepta los datos transmitidos desde el servidor del cajero automático al [Hardware Security Module] servidor y lo compara con un conjunto de condiciones predefinidas», dijo Group-IB. «Si se cumplen estas condiciones, los datos se modifican antes de ser enviados desde el servidor del cajero automático».
UNC2891 y UNC1945 fueron previamente detallado Mandiant, propiedad de Google, en marzo de 2022, por haber implementado el rootkit CAKETAP en sistemas Oracle Solaris para interceptar mensajes de una red de conmutación de cajeros automáticos y realizar retiros de efectivo no autorizados en diferentes bancos utilizando tarjetas fraudulentas.
«La presencia y las actividades tanto de Lotus Bane como de UNC1945 en la región APAC resaltan la necesidad de una vigilancia continua y medidas sólidas de ciberseguridad», dijo Tikhonova. «Estos grupos, con sus distintas tácticas y objetivos, subrayan la complejidad de la protección contra las ciberamenazas financieras en el panorama digital actual».
