- Một tổ chức tài chính ở Việt Nam đã trở thành mục tiêu của nhóm APT Lotus Bane trong một chiến dịch tấn công được phát hiện lần đầu vào tháng 03/2023, nhóm này bị nghi ngờ là đã hoạt động kể từ năm 2022.
Hiện vẫn chưa xác định rõ về cách thức lây nhiễm mã độc của nhóm Lotus Bane, tuy nhiên, đã có những dấu hiệu cho thấy nhóm này sử dụng các kỹ thuật tấn công như DLL side-loading và trao đổi dữ liệu qua named pipe.
Những kỹ thuật này được sử dụng để thực thi các tập tin độc hại và tạo ra lịch trình tác vụ từ xa, nhằm mục đích di chuyển ngang hệ thống. Mục tiêu của việc di chuyển ngang hệ thống là để lấy được quyền truy cập vào các tài nguyên quan trọng hoặc để lan truyền mã độc hoặc tấn công đến các vị trí khác trong hệ thống.
Đáng chú ý, các kỹ thuật tấn công mà nhóm Lotus Bane sử dụng có nhiều điểm tương đồng với nhóm OceanLotus, một nhóm tấn công có nguồn gốc từ Việt Nam (có nhiều tên gọi khác như APT32, Canvas Cyclone, Bismuth và Cobalt Kitty). Tuy nhiên, ngoài điểm chung là cùng sử dụng các mã độc như PIPEDANCE để kết nối named pipe thì đối tượng mục tiêu của hai nhóm tấn công này khác nhau. Do đó, khả năng hai nhóm này là một rất khó xảy ra.
 |
| Ảnh minh họa |
Mã độc PIPEDANCE được phát hiện vào tháng 02/2023 trong một chiến dịch nhằm vào một tổ chức ở Việt Nam vào cuối tháng 12/2022. Mặc dù Lotus Bane chủ yếu nhằm vào lĩnh vực ngân hàng tại khu vực Châu Á-Thái Bình nhưng lại phát hiện chiến dịch tấn công này xuất phát từ Việt Nam. Điều này cho thấy cho thấy Lotus Bane rất tinh vi và phạm vi hoạt động có thể lan rộng hơn dự kiến. Thông tin về Lotus Bane được công bố trong bối cảnh có nhiều tổ chức tài chính tại châu Á - Thái Bình Dương, châu Âu, Mỹ Latin và Bắc Mỹ cùng một lúc trở thành mục tiêu của các nhóm APT như Blind Eagle và Lazarus Group trong thời gian gần đây.
Một nhóm APT có động cơ tài chính đáng chú ý là UNC1945 đã tiến hành các cuộc tấn công nhắm vào các máy chủ switch ATM với mục tiêu lây nhiễm mã độc CAKETAP trên hệ thống. Mã độc này có khả năng ngăn chặn dữ liệu được truyền từ máy chủ ATM tới máy chủ chứa module bảo mật phần cứng và kiểm tra dữ liệu với các điều kiện đã được đặt trước. Nếu các điều kiện được đáp ứng, mã độc sẽ sửa đổi dữ liệu trước khi gửi lại tới máy chủ ATM.
Trước đó, hai nhóm UNC2891 và UNC1945 đã triển khai rootkit CAKETAP trên các hệ thống chạy Oracle Solaris vào tháng 02/2022. Họ sử dụng rootkit này để ngăn chặn tin nhắn gửi từ mạng lưới switch ATM và thực hiện việc rút tiền trái cấp phép tại nhiều ngân hàng khác nhau bằng cách sử dụng thẻ giả.
PV (thehackernews/NCSC)
