Une entité financière au Vietnam a été la cible d’un acteur menaçant jusqu’alors sans papiers appelé Fléau du Lotus qui a été détecté pour la première fois en mars 2023.
Group-IB, dont le siège est à Singapour, a décrit l’entreprise de piratage comme un groupe de menaces persistantes avancées qui serait actif depuis au moins 2022.
Les spécificités exactes de la chaîne d’infection restent inconnues pour l’instant, mais elle implique l’utilisation de divers artefacts malveillants qui servent de tremplin pour l’étape suivante.
« Les cybercriminels ont utilisé des méthodes telles que le chargement latéral de DLL et l’échange de données via des canaux nommés pour exécuter des exécutables malveillants et créer des tâches planifiées à distance pour des mouvements latéraux », a déclaré la société. dit.
Group-IB a déclaré à The Hacker News que les techniques utilisées par Lotus Bane chevauchent celles d’OceanLotus, un acteur menaçant aligné sur le Vietnam également connu sous le nom d’APT32, Canvas Cyclone (anciennement Bismuth) et Cobalt Kitty. Cela découle de l’utilisation de logiciels malveillants comme PIPEDANCE pour la communication par canaux nommés.
Il convient de noter que PIPEDANCE a été documenté pour la première fois par Elastic Security Labs en février 2023 dans le cadre d’une cyberattaque visant une organisation vietnamienne anonyme fin décembre 2022.
« Cette similarité suggère des liens possibles avec ou des inspirations d’OceanLotus, cependant, les différentes industries cibles font qu’elles sont probablement différentes », a déclaré Anastasia Tikhonova, responsable des renseignements sur les menaces pour l’APAC chez Group-IB.
« Lotus Bane participe activement à des attaques ciblant principalement le secteur bancaire dans la région APAC. Bien que l’attaque connue ait eu lieu au Vietnam, la sophistication de leurs méthodes indique le potentiel d’opérations géographiques plus larges au sein de l’APAC. La durée exacte de leur activité avant cela Leur découverte n’est pas claire pour le moment, mais les enquêtes en cours pourraient apporter davantage de lumière sur leur histoire. »
Cette évolution intervient alors que les organisations financières de la région Asie-Pacifique (APAC), d’Europe, d’Amérique latine (LATAM) et d’Amérique du Nord ont été la cible de plusieurs groupes de menaces persistantes avancées tels que Blind Eagle et le groupe Lazarus au cours de l’année écoulée.
Un autre groupe de menaces notable à motivation financière est UNC1945, qui a été observé ciblant les serveurs de commutateurs ATM dans le but de les infecter avec un malware personnalisé appelé CAKETAP.
« Ce malware intercepte les données transmises du serveur ATM au [Hardware Security Module] serveur et les vérifie par rapport à un ensemble de conditions prédéfinies », a déclaré Group-IB. « Si ces conditions sont remplies, les données sont modifiées avant d’être envoyées depuis le serveur ATM. »
UNC2891 et UNC1945 avaient déjà été détaillés par Mandiant, propriété de Google, en mars 2022, comme ayant déployé le rootkit CAKETAP sur les systèmes Oracle Solaris pour intercepter les messages d’un réseau de commutation ATM et effectuer des retraits d’espèces non autorisés dans différentes banques à l’aide de cartes frauduleuses.
« La présence et les activités de Lotus Bane et d’UNC1945 dans la région APAC soulignent la nécessité d’une vigilance continue et de mesures de cybersécurité robustes », a déclaré Tikhonova. « Ces groupes, avec leurs tactiques et leurs cibles distinctes, soulignent la complexité de la protection contre les cybermenaces financières dans le paysage numérique actuel. »