Una entidad financiera en Vietnam ha sido atacada por un grupo de amenazas persistentes avanzadas llamado Loto Bane, que fue detectado por primera vez en marzo de 2023. El Grupo IB, con sede en Singapur, informó que este grupo de piratería ha estado activo desde al menos 2022 y utiliza diferentes artefactos maliciosos para moverse lateralmente.
Los ciberdelincuentes han utilizado técnicas como la carga lateral DLL y el intercambio de datos a través de tuberías con nombre para ejecutar ejecutables maliciosos. Según Group IB, las tácticas utilizadas por Loto Bane se superponen con las de otros actores de amenazas financieras como OceanLotus, Canvas Cyclone y Cobalt Kitty. La similitud se debe al uso de malware como PIPEDANCE para comunicación de tuberías con nombre.
Loto Bane ha estado atacando principalmente al sector bancario en la región APAC. Aunque se sabe que el ataque ocurrió en Vietnam, su sofisticación indica el potencial para operaciones geográficas más amplias dentro de Asia y el Pacífico. Las organizaciones financieras en todo el mundo han sido objeto de varios grupos de amenazas persistentes avanzadas como Blind Eagle, Grupo Lazarus, UNC1945 y UNC2891.
UNC1945 ha estado atacando servidores de conmutación de cajeros automáticos con el objetivo de infectarlos con un malware personalizado llamado CAKETAP. Este malware intercepta los datos transmitidos desde el servidor de cajero automático al servidor del Módulo de Seguridad de Hardware y los verifica según un conjunto de condiciones predefinidas. Si se cumplen estas condiciones, los datos se modifican antes de ser enviados desde el servidor de cajero automático.
La presencia y actividades tanto de Loto Bane como de UNC1945 en la región APAC subrayan la complejidad de protegerse contra las amenazas cibernéticas financieras en el actual panorama digital. La vigilancia continua y las medidas de ciberseguridad sólidas son esenciales.
Vía The Hacker News
