Vietnam'ın Finansal Kuruluşlarına Yönelik Son Saldırıların Arkasında Yeni APT Grubu 'Lotus Bane'
Vietnam'daki bir finansal kuruluş, ilk olarak Mart 2023'te tespit edilen bir siber saldırının parçası olarak Lotus Bane adlı daha önce belgelenmemiş bir tehdit aktörünün hedefi oldu.
Singapur merkezli Group-IB, bilgisayar korsanlığı ekibini en az 2022'den beri aktif olduğuna inanılan gelişmiş bir kalıcı tehdit grubu olarak tanımladı.
Enfeksiyon zincirinin kesin özellikleri henüz bilinmemektedir, ancak bir sonraki aşama için basamak taşı görevi gören çeşitli kötü amaçlı eserlerin kullanımını içerir.
Şirket, "Siber suçlular, kötü amaçlı yürütülebilir dosyaları çalıştırmak ve yanal hareket için uzaktan zamanlanmış görevler oluşturmak için DLL yandan yükleme ve adlandırılmış kanallar aracılığıyla veri alışverişi gibi yöntemler kullandı" dedi.
Group-IB, verdiği bir demeçte, Lotus Bane tarafından kullanılan tekniklerin, APT32, Canvas Cyclone (eski adıyla Bismuth) ve Cobalt Kitty olarak da bilinen Vietnam yanlısı bir tehdit aktörü olan OceanLotus'unkiyle örtüştüğünü söyledi. Bu, adlandırılmış kanal iletişimi için PIPEDANCE gibi kötü amaçlı yazılımların kullanılmasından kaynaklanır.
PIPEDANCE'in ilk olarak Şubat 2023'te Elastic Security Labs tarafından Aralık 2022'nin sonlarında isimsiz bir Vietnamlı kuruluşu hedef alan bir siber saldırıyla bağlantılı olarak belgelendiğini belirtmekte fayda var.
Group-IB'de APAC tehdit istihbaratı başkanı Anastasia Tikhonova, "Bu benzerlik, OceanLotus ile olası bağlantıları veya OceanLotus'tan ilham almayı öneriyor, ancak farklı hedef endüstriler farklı olmalarını muhtemel kılıyor" dedi.
"Lotus Bane, öncelikle APAC bölgesindeki bankacılık sektörünü hedef alan saldırılarda aktif olarak yer alıyor. Bilinen saldırı Vietnam'da olmasına rağmen, yöntemlerinin karmaşıklığı, APAC içinde daha geniş coğrafi operasyonlar için potansiyel olduğunu gösteriyor. Bu keşiften önceki faaliyetlerinin kesin süresi şu anda belirsizdir, ancak devam eden araştırmalar tarihlerine daha fazla ışık tutabilir."
Gelişme, Asya-Pasifik (APAC), Avrupa, Latin Amerika (LATAM) ve Kuzey Amerika'daki finansal kuruluşların geçen yıl boyunca Blind Eagle ve Lazarus Group gibi birkaç gelişmiş kalıcı tehdit grubunun hedefi olmasıyla geldi.
Finansal olarak motive edilmiş bir diğer önemli tehdit grubu, ATM anahtar sunucularını CAKETAP adlı özel bir kötü amaçlı yazılımla enfekte etmek amacıyla hedef aldığı gözlemlenen UNC1945'dir.
Group-IB, "Bu kötü amaçlı yazılım, ATM sunucusundan [Donanım Güvenlik Modülü] sunucusuna iletilen verileri yakalar ve önceden tanımlanmış bir dizi koşula göre kontrol eder" dedi. "Bu koşullar yerine getirilirse, veriler ATM sunucusundan gönderilmeden önce değiştirilir."
UNC2891 ve UNC1945 daha önce Mart 2022'de Google'a ait Mandiant tarafından, bir ATM anahtarlama ağından gelen mesajları engellemek ve sahte kartlar kullanarak farklı bankalardan yetkisiz nakit çekme işlemleri gerçekleştirmek için Oracle Solaris sistemlerinde CAKETAP rootkit'i konuşlandırdığı için detaylandırılmıştı.
Tikhonova, "Hem Lotus Bane'in hem de UNC1945'in APAC bölgesindeki varlığı ve faaliyetleri, sürekli teyakkuz ve sağlam siber güvenlik önlemlerine duyulan ihtiyacı vurguluyor" dedi. "Bu gruplar, farklı taktikleri ve hedefleriyle, günümüzün dijital ortamında finansal siber tehditlere karşı korunmanın karmaşıklığının altını çiziyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı