Mindst 16 afrikanske banker, finansielle tjenester og telekommunikationsselskaber er blevet identificeret som ofre for den fransktalende trusselgruppe OPERA1ER, som har stjålet mindst 11 millioner dollars siden 2018.
En ny rapport fra Group-IB forklarer, at den har fulgt OPERA1ERs aktiviteter siden 2019; dog ventede de med at offentliggøre sine resultater, indtil gruppen genopstod efter en pause i 2021. Nu er banden tilbage i aktion, forklarer analytikerne, og giver Group-IB mulighed for at dokumentere deres OPERA1ER TTP'er fra 2019 til 2021samt den seneste iteration i 2022.
Forskerne rapporterede, at OPERA1ER med succes har brudt målenes systemer mindst 30 gange siden 2018. Som et eksempel på gruppens sofistikerede og koordinering, tilføjede rapporten, at et af gruppens angreb brugte mere end 400 muldyrkonti til at foretage svigagtige pengehævninger .
Gruppen bruger faktisk ikke eksotisk malware, sagde forskerne i rapporten, at OPERA1ERs kendetegn er let tilgængelig open source-malware og hverdagsrammer som Metasploit og Cobalt Strike. OPERA1ER leverer trojanske heste med fjernadgang (RAT'er) gennem fransksprogede e-mail-phishing-lokker og tager sig tid til at indsamle efterretninger om sine ofre, før de "udbetaler", tilføjede rapporten.
"En detaljeret analyse af bandens seneste angreb afslørede et interessant mønster i deres modus operandi: OPERA1ER udfører angreb hovedsageligt i weekender eller helligdage," sagde Rustam Mirkasymov, leder af cybertrusler-forskning hos Group-IB Europe, i en erklæring. "Det korrelerer med det faktum, at de bruger fra tre til 12 måneder fra den første adgang til pengetyveri."
Mirkasymov tilføjede, at banden kunne være baseret fra Afrika, og det samlede antal OPERA1ER-gruppemedlemmer er ukendt.
