Een financiële entiteit in Vietnam was het doelwit van een voorheen ongedocumenteerde dreigingsacteur Lotus Bane dat voor het eerst werd ontdekt in maart 2023.
Het in Singapore gevestigde Group-IB omschreef de hackersgroep als een geavanceerde, aanhoudende dreigingsgroep waarvan wordt aangenomen dat deze al sinds 2022 actief is.
De exacte details van de infectieketen zijn nog onbekend, maar het gaat om het gebruik van verschillende kwaadaardige artefacten die dienen als opstapje naar de volgende fase.
“De cybercriminelen gebruikten methoden zoals DLL side-loading en gegevensuitwisseling via Named Pipes om kwaadaardige uitvoerbare bestanden uit te voeren en op afstand geplande taken te creëren voor laterale verplaatsing”, aldus het bedrijf.
Group-IB vertelde The Hacker News dat de technieken die door Lotus Bane worden gebruikt, overlappen met die van OceanLotus, een aan Vietnam verbonden bedreigingsacteur die ook bekend staat als APT32, Canvas Cyclone (voorheen Bismuth) en Cobalt Kitty. Dit komt voort uit het gebruik van malware zoals PIPEDANCE voor Name Pipes-communicatie.
Het is vermeldenswaard dat PIPEDANCE voor het eerst werd gedocumenteerd door Elastic Security Labs in februari 2023 in verband met een cyberaanval gericht op een niet nader genoemde Vietnamese organisatie eind december 2022.
“Deze gelijkenis suggereert mogelijke connecties met of inspiratiebronnen van OceanLotus, maar de verschillende doelsectoren maken het waarschijnlijk dat ze verschillend zijn”, zegt Anastasia Tikhonova, hoofd Threat Intelligence voor APAC bij Group-IB.
“Lotus Bane is actief betrokken bij aanvallen die voornamelijk gericht zijn op de banksector in de APAC-regio. Hoewel de bekende aanval in Vietnam plaatsvond, geeft de verfijning van hun methoden het potentieel aan voor bredere geografische operaties binnen APAC. De exacte duur van hun activiteiten daaraan voorafgaand ontdekking is momenteel onduidelijk, maar lopende onderzoeken kunnen meer licht werpen op hun geschiedenis.”
Deze ontwikkeling komt omdat financiële organisaties in Azië-Pacific (APAC), Europa, Latijns-Amerika (LATAM) en Noord-Amerika het afgelopen jaar het doelwit zijn geweest van verschillende geavanceerde aanhoudende dreigingsgroepen zoals Blind Eagle en de Lazarus Group.
Een andere opmerkelijke financieel gemotiveerde dreigingsgroep is UNC1945, waarvan is waargenomen dat deze zich richt op ATM-switchservers met als doel deze te infecteren met een aangepaste malware genaamd CAKETAP.
“Deze malware onderschept gegevens die worden verzonden van de ATM-server naar de [Hardware Security Module] server en vergelijkt deze met een reeks vooraf gedefinieerde voorwaarden”, aldus Group-IB. “Als aan deze voorwaarden wordt voldaan, worden de gegevens gewijzigd voordat ze vanaf de ATM-server worden verzonden.”
UNC2891 en UNC1945 werden eerder in maart 2022 door Mandiant, eigendom van Google, beschreven als hebbende de CAKETAP-rootkit op Oracle Solaris-systemen ingezet om berichten van een geldautomatennetwerk te onderscheppen en ongeautoriseerde geldopnames uit te voeren bij verschillende banken met behulp van frauduleuze kaarten.
“De aanwezigheid en activiteiten van zowel Lotus Bane als UNC1945 in de APAC-regio benadrukken de noodzaak van voortdurende waakzaamheid en robuuste cyberbeveiligingsmaatregelen”, aldus Tikhonova. “Deze groepen, met hun verschillende tactieken en doelstellingen, onderstrepen de complexiteit van de bescherming tegen financiële cyberdreigingen in het huidige digitale landschap.”
