Vietnam’daki bir finansal kuruluş, daha önce belgelenmemiş bir tehdit aktörünün hedefiydi. Nilüfer Felaketi İlk kez Mart 2023’te tespit edilen bir siber saldırının parçası olarak.
Singapur merkezli Group-IB, bilgisayar korsanlığı ekibini en az 2022’den beri aktif olduğuna inanılan gelişmiş bir kalıcı tehdit grubu olarak tanımladı.
Enfeksiyon zincirinin kesin özellikleri henüz bilinmiyor ancak bir sonraki aşama için basamak görevi gören çeşitli kötü amaçlı eserlerin kullanımını içeriyor.
Şirket, “Siber suçlular, kötü amaçlı yürütülebilir dosyaları çalıştırmak ve yanal hareket için uzaktan planlanmış görevler oluşturmak için DLL yan yüklemesi ve adlandırılmış kanallar aracılığıyla veri alışverişi gibi yöntemler kullandı.” söz konusu.
Group-IB, The Hacker News’e Lotus Bane tarafından kullanılan tekniklerin, APT32, Canvas Cyclone (eski adıyla Bismuth) ve Cobalt Kitty olarak da bilinen Vietnam bağlantılı bir tehdit aktörü olan OceanLotus’unkilerle örtüştüğünü söyledi. Bu, adlandırılmış kanallar iletişimi için PIPEDANCE gibi kötü amaçlı yazılımların kullanılmasından kaynaklanmaktadır.
PIPEDANCE’ın ilk olarak Şubat 2023’te Elastic Security Labs tarafından Aralık 2022 sonlarında isimsiz bir Vietnam kuruluşunu hedef alan bir siber saldırıyla bağlantılı olarak belgelendiğini belirtmekte fayda var.
Group-IB’de APAC tehdit istihbaratı başkanı Anastasia Tikhonova, “Bu benzerlik OceanLotus ile olası bağlantıları veya ondan ilham alındığını akla getiriyor, ancak farklı hedef endüstriler onların farklı olma ihtimalini artırıyor” dedi.
“Lotus Bane, öncelikle APAC bölgesindeki bankacılık sektörünü hedef alan saldırılara aktif olarak katılıyor. Bilinen saldırı Vietnam’da olmasına rağmen, yöntemlerinin karmaşıklığı, APAC içinde daha geniş coğrafi operasyonlar için potansiyel olduğunu gösteriyor. Bundan önceki etkinliklerinin tam süresi keşif şu anda belirsiz, ancak devam eden araştırmalar geçmişlerine daha fazla ışık tutabilir.”
Gelişme, Asya-Pasifik (APAC), Avrupa, Latin Amerika (LATAM) ve Kuzey Amerika’daki finans kuruluşlarının geçtiğimiz yıl Blind Eagle ve Lazarus Group gibi birçok gelişmiş kalıcı tehdit grubunun hedefi olmasıyla ortaya çıktı.
Finansal motivasyona sahip bir diğer önemli tehdit grubu da, CAKETAP adı verilen özel bir kötü amaçlı yazılım bulaştırmak amacıyla ATM anahtar sunucularını hedef aldığı gözlemlenen UNC1945’tir.
“Bu kötü amaçlı yazılım, ATM sunucusundan ATM’ye iletilen verileri ele geçiriyor [Hardware Security Module] Group-IB, sunucunun önceden tanımlanmış bir dizi koşula göre kontrol edildiğini söyledi. “Bu koşullar karşılanırsa, veriler ATM sunucusundan gönderilmeden önce değiştirilir.”
UNC2891 ve UNC1945’in daha önce Mart 2022’de Google’a ait Mandiant tarafından, ATM anahtarlama ağından gelen mesajları engellemek ve sahte kartlar kullanarak farklı bankalardan yetkisiz nakit çekme işlemleri gerçekleştirmek için CAKETAP kök setini Oracle Solaris sistemlerine dağıttığı açıklanmıştı.
Tikhonova, “Hem Lotus Bane’in hem de UNC1945’in APAC bölgesindeki varlığı ve faaliyetleri, sürekli dikkat ve sağlam siber güvenlik önlemlerine olan ihtiyacın altını çiziyor.” dedi. “Bu gruplar, farklı taktikleri ve hedefleri ile günümüzün dijital ortamında finansal siber tehditlere karşı korumanın karmaşıklığının altını çiziyor.”
