Применение бэкдора PIPEDANCE намекает на связь преступников с другой известной хакерской группировкой.
Финансовая организация во Вьетнаме стала мишенью для ранее неизвестной хакерской группировки, получившей название Lotus Bane. Группа была выявлена киберэкспертами в марте 2023 года, хотя предполагается, что она ведёт свою активность как минимум с 2022 года. По данным компании Group-IB, этих злоумышленников вполне можно отнести к APT-группировкам.
Точная цепочка заражения вьетнамской компании не была воссоздана исследователями, однако она точно включает в себя использование различных экземпляров вредоносного ПО, которые послужили трамплином для следующего этапа атаки.
Для достижения своих целей хакеры применяли такие методы, как DLL Sideloading, обмен данными через именованные каналы, а также создание удалённых запланированных задач для горизонтального перемещения внутри сети.
Group-IB утверждает, что техники, используемые Lotus Bane, схожи с теми, что применяет группировка OceanLotus, также известная как APT32, Canvas Cyclone (ранее Bismuth) и Cobalt Kitty. В частности, обе группы использовали вредоносное ПО PIPEDANCE для коммуникации через именованные каналы. Это вредоносное ПО было впервые задокументировано экспертами Elastic Security Labs в феврале 2023 года.
Сходство методов может указывать на связи Lotus Bane с OceanLotus или банальное подражательство, однако различие в выборе целей однозначно даёт понять, что эти группировки не идентичны.
Lotus Bane активно атакует, в основном, банковский сектор Азиатско-Тихоокеанского региона (АТР). Известно, что группа совершила атаку во Вьетнаме, но сложность их методов указывает на потенциал для более широких географических операций в регионе. Точная длительность деятельности группы до её обнаружения остаётся неизвестной.
Финансовые организации в регионе АТР, а также в Европе, Латинской Америке и Северной Америке за последний год становились целью нескольких APT-группировок, включая Blind Eagle и Lazarus. Отдельное внимание заслуживает группа UNC1945, замеченная в атаках на банкоматы с использованием специализированного вредоносного ПО CakeTap.
Деятельность групп Lotus Bane и UNC1945 в Азиатско-Тихоокеанском регионе подчёркивает необходимость постоянного внимания и развития мер кибербезопасности. Разнообразие их тактик и целей подчёркивает сложность защиты от финансовых киберугроз в современном цифровом мире.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале