Lotus Bane: ночной кошмар для финансовых компаний Азиатско-Тихоокеанского региона

Lotus Bane: ночной кошмар для финансовых компаний Азиатско-Тихоокеанского региона

Применение бэкдора PIPEDANCE намекает на связь преступников с другой известной хакерской группировкой.

image

Финансовая организация во Вьетнаме стала мишенью для ранее неизвестной хакерской группировки, получившей название Lotus Bane. Группа была выявлена киберэкспертами в марте 2023 года, хотя предполагается, что она ведёт свою активность как минимум с 2022 года. По данным компании Group-IB, этих злоумышленников вполне можно отнести к APT-группировкам.

Точная цепочка заражения вьетнамской компании не была воссоздана исследователями, однако она точно включает в себя использование различных экземпляров вредоносного ПО, которые послужили трамплином для следующего этапа атаки.

Для достижения своих целей хакеры применяли такие методы, как DLL Sideloading, обмен данными через именованные каналы, а также создание удалённых запланированных задач для горизонтального перемещения внутри сети.

Group-IB утверждает, что техники, используемые Lotus Bane, схожи с теми, что применяет группировка OceanLotus, также известная как APT32, Canvas Cyclone (ранее Bismuth) и Cobalt Kitty. В частности, обе группы использовали вредоносное ПО PIPEDANCE для коммуникации через именованные каналы. Это вредоносное ПО было впервые задокументировано экспертами Elastic Security Labs в феврале 2023 года.

Сходство методов может указывать на связи Lotus Bane с OceanLotus или банальное подражательство, однако различие в выборе целей однозначно даёт понять, что эти группировки не идентичны.

Lotus Bane активно атакует, в основном, банковский сектор Азиатско-Тихоокеанского региона (АТР). Известно, что группа совершила атаку во Вьетнаме, но сложность их методов указывает на потенциал для более широких географических операций в регионе. Точная длительность деятельности группы до её обнаружения остаётся неизвестной.

Финансовые организации в регионе АТР, а также в Европе, Латинской Америке и Северной Америке за последний год становились целью нескольких APT-группировок, включая Blind Eagle и Lazarus. Отдельное внимание заслуживает группа UNC1945, замеченная в атаках на банкоматы с использованием специализированного вредоносного ПО CakeTap.

Деятельность групп Lotus Bane и UNC1945 в Азиатско-Тихоокеанском регионе подчёркивает необходимость постоянного внимания и развития мер кибербезопасности. Разнообразие их тактик и целей подчёркивает сложность защиты от финансовых киберугроз в современном цифровом мире.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь