Teacher
Professional
- Messages
- 2,669
- Reaction score
- 819
- Points
- 113
Финансовая организация во Вьетнаме стала мишенью ранее недокументированного субъекта угрозы по имени Lotus Bane , который был впервые обнаружен в марте 2023 года.
Group-IB со штаб-квартирой в Сингапуре описала хакерскую организацию как передовую группу с постоянными угрозами, которая, как полагают, была активна по крайней мере с 2022 года.
Точные особенности цепочки заражения пока остаются неизвестными, но она включает в себя использование различных вредоносных артефактов, которые служат трамплином для следующего этапа.
"Киберпреступники использовали такие методы, как сторонняя загрузка DLL и обмен данными по именованным каналам для запуска вредоносных исполняемых файлов и создания удаленных запланированных заданий для горизонтального перемещения", - сказали в компании.
Group-IB сообщила The Hacker News, что методы, используемые Lotus Bane, совпадают с методами, используемыми OceanLotus, связанной с Вьетнамом террористической организации, также известной как APT32, Canvas Cyclone (ранее Bismuth) и Cobalt Kitty. Это связано с использованием вредоносного ПО, такого как PIPEDANCE, для связи по именованным каналам.
Стоит отметить, что PIPEDANCE был впервые задокументирован Elastic Security Labs в феврале 2023 года в связи с кибератакой, направленной против неназванной вьетнамской организации в конце декабря 2022 года.
"Это сходство предполагает возможные связи с OceanLotus или вдохновение от него, однако различные целевые отрасли делают вероятным, что они разные", - сказала Анастасия Тихонова, руководитель отдела анализа угроз APAC в Group-IB.
"Lotus Bane активно участвует в атаках, нацеленных в первую очередь на банковский сектор в регионе APAC. Хотя известная атака была совершена во Вьетнаме, изощренность их методов указывает на потенциал для более широких географических операций в рамках APAC. Точная продолжительность их деятельности до этого открытия в настоящее время неясна, но продолжающиеся расследования могут пролить больше света на их историю."
За последний год финансовые организации в Азиатско-Тихоокеанском регионе (APAC), Европе, Латинской Америке (LATAM) и Северной Америке стали мишенью нескольких передовых групп, представляющих постоянную угрозу, таких как Blind Eagle и Lazarus Group.
Другой заметной финансово мотивированной группой угроз является UNC1945, которая, как было замечено, нацелена на серверы ATM switch с целью заражения их пользовательским вредоносным ПО под названием CAKETAP.
"Это вредоносное ПО перехватывает данные, передаваемые с сервера ATM на сервер [Hardware Security Module], и проверяет их на соответствие набору предопределенных условий", - заявили в Group-IB. "При соблюдении этих условий данные изменяются перед отправкой с сервера банкомата".
Принадлежащий Google Mandiant в марте 2022 года ранее подробно описал UNC2891 и UNC1945, как внедрившие руткит CAKETAP в системах Oracle Solaris для перехвата сообщений из сети коммутации банкоматов и несанкционированного снятия наличных в разных банках с использованием мошеннических карт.
"Присутствие и деятельность как Lotus Bane, так и UNC1945 в регионе APAC подчеркивают необходимость постоянной бдительности и надежных мер кибербезопасности", - сказала Тихонова. "Эти группы, с их четкой тактикой и целями, подчеркивают сложность защиты от финансовых киберугроз в современном цифровом ландшафте".
Group-IB со штаб-квартирой в Сингапуре описала хакерскую организацию как передовую группу с постоянными угрозами, которая, как полагают, была активна по крайней мере с 2022 года.
Точные особенности цепочки заражения пока остаются неизвестными, но она включает в себя использование различных вредоносных артефактов, которые служат трамплином для следующего этапа.
"Киберпреступники использовали такие методы, как сторонняя загрузка DLL и обмен данными по именованным каналам для запуска вредоносных исполняемых файлов и создания удаленных запланированных заданий для горизонтального перемещения", - сказали в компании.
Group-IB сообщила The Hacker News, что методы, используемые Lotus Bane, совпадают с методами, используемыми OceanLotus, связанной с Вьетнамом террористической организации, также известной как APT32, Canvas Cyclone (ранее Bismuth) и Cobalt Kitty. Это связано с использованием вредоносного ПО, такого как PIPEDANCE, для связи по именованным каналам.
Стоит отметить, что PIPEDANCE был впервые задокументирован Elastic Security Labs в феврале 2023 года в связи с кибератакой, направленной против неназванной вьетнамской организации в конце декабря 2022 года.
"Это сходство предполагает возможные связи с OceanLotus или вдохновение от него, однако различные целевые отрасли делают вероятным, что они разные", - сказала Анастасия Тихонова, руководитель отдела анализа угроз APAC в Group-IB.
"Lotus Bane активно участвует в атаках, нацеленных в первую очередь на банковский сектор в регионе APAC. Хотя известная атака была совершена во Вьетнаме, изощренность их методов указывает на потенциал для более широких географических операций в рамках APAC. Точная продолжительность их деятельности до этого открытия в настоящее время неясна, но продолжающиеся расследования могут пролить больше света на их историю."
За последний год финансовые организации в Азиатско-Тихоокеанском регионе (APAC), Европе, Латинской Америке (LATAM) и Северной Америке стали мишенью нескольких передовых групп, представляющих постоянную угрозу, таких как Blind Eagle и Lazarus Group.
Другой заметной финансово мотивированной группой угроз является UNC1945, которая, как было замечено, нацелена на серверы ATM switch с целью заражения их пользовательским вредоносным ПО под названием CAKETAP.
"Это вредоносное ПО перехватывает данные, передаваемые с сервера ATM на сервер [Hardware Security Module], и проверяет их на соответствие набору предопределенных условий", - заявили в Group-IB. "При соблюдении этих условий данные изменяются перед отправкой с сервера банкомата".
Принадлежащий Google Mandiant в марте 2022 года ранее подробно описал UNC2891 и UNC1945, как внедрившие руткит CAKETAP в системах Oracle Solaris для перехвата сообщений из сети коммутации банкоматов и несанкционированного снятия наличных в разных банках с использованием мошеннических карт.
"Присутствие и деятельность как Lotus Bane, так и UNC1945 в регионе APAC подчеркивают необходимость постоянной бдительности и надежных мер кибербезопасности", - сказала Тихонова. "Эти группы, с их четкой тактикой и целями, подчеркивают сложность защиты от финансовых киберугроз в современном цифровом ландшафте".
