Vietnam'ın Finansal Kuruluşlarına Yönelik Son Saldırıların Arkasında Yeni APT Grubu 'Lotus Bane'

Singapur merkezli Group-IB, bilgisayar korsanlığı ekibini en az 2022'den beri aktif olduğuna inanılan gelişmiş bir kalıcı tehdit grubu olarak tanımladı.

Enfeksiyon zincirinin kesin özellikleri henüz bilinmemektedir, ancak bir sonraki aşama için basamak taşı görevi gören çeşitli kötü amaçlı eserlerin kullanımını içerir.

Şirket, "Siber suçlular, kötü amaçlı yürütülebilir dosyaları çalıştırmak ve yanal hareket için uzaktan zamanlanmış görevler oluşturmak için DLL yandan yükleme ve adlandırılmış kanallar aracılığıyla veri alışverişi gibi yöntemler kullandı" dedi.

Group-IB, verdiği bir demeçte, Lotus Bane tarafından kullanılan tekniklerin, APT32, Canvas Cyclone (eski adıyla Bismuth) ve Cobalt Kitty olarak da bilinen Vietnam yanlısı bir tehdit aktörü olan OceanLotus'unkiyle örtüştüğünü söyledi. Bu, adlandırılmış kanal iletişimi için PIPEDANCE gibi kötü amaçlı yazılımların kullanılmasından kaynaklanır.

PIPEDANCE'in ilk olarak Şubat 2023'te Elastic Security Labs tarafından Aralık 2022'nin sonlarında isimsiz bir Vietnamlı kuruluşu hedef alan bir siber saldırıyla bağlantılı olarak belgelendiğini belirtmekte fayda var.

Group-IB'de APAC tehdit istihbaratı başkanı Anastasia Tikhonova, "Bu benzerlik, OceanLotus ile olası bağlantıları veya OceanLotus'tan ilham almayı öneriyor, ancak farklı hedef endüstriler farklı olmalarını muhtemel kılıyor" dedi.

"Lotus Bane, öncelikle APAC bölgesindeki bankacılık sektörünü hedef alan saldırılarda aktif olarak yer alıyor. Bilinen saldırı Vietnam'da olmasına rağmen, yöntemlerinin karmaşıklığı, APAC içinde daha geniş coğrafi operasyonlar için potansiyel olduğunu gösteriyor. Bu keşiften önceki faaliyetlerinin kesin süresi şu anda belirsizdir, ancak devam eden araştırmalar tarihlerine daha fazla ışık tutabilir."

Gelişme, Asya-Pasifik (APAC), Avrupa, Latin Amerika (LATAM) ve Kuzey Amerika'daki finansal kuruluşların geçen yıl boyunca Blind Eagle ve Lazarus Group gibi birkaç gelişmiş kalıcı tehdit grubunun hedefi olmasıyla geldi.

Finansal olarak motive edilmiş bir diğer önemli tehdit grubu, ATM anahtar sunucularını CAKETAP adlı özel bir kötü amaçlı yazılımla enfekte etmek amacıyla hedef aldığı gözlemlenen UNC1945'dir.

Group-IB, "Bu kötü amaçlı yazılım, ATM sunucusundan [Donanım Güvenlik Modülü] sunucusuna iletilen verileri yakalar ve önceden tanımlanmış bir dizi koşula göre kontrol eder" dedi. "Bu koşullar yerine getirilirse, veriler ATM sunucusundan gönderilmeden önce değiştirilir."

UNC2891 ve UNC1945 daha önce Mart 2022'de Google'a ait Mandiant tarafından, bir ATM anahtarlama ağından gelen mesajları engellemek ve sahte kartlar kullanarak farklı bankalardan yetkisiz nakit çekme işlemleri gerçekleştirmek için Oracle Solaris sistemlerinde CAKETAP rootkit'i konuşlandırdığı için detaylandırılmıştı.

Tikhonova, "Hem Lotus Bane'in hem de UNC1945'in APAC bölgesindeki varlığı ve faaliyetleri, sürekli teyakkuz ve sağlam siber güvenlik önlemlerine duyulan ihtiyacı vurguluyor" dedi. "Bu gruplar, farklı taktikleri ve hedefleriyle, günümüzün dijital ortamında finansal siber tehditlere karşı korunmanın karmaşıklığının altını çiziyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği