Mindestens 16 afrikanische Banken, Finanzdienstleister und Telekommunikationsunternehmen wurden als Opfer der französischsprachigen Bedrohungsgruppe OPERA1ER identifiziert, die seit 11 mindestens 2018 Millionen US-Dollar gestohlen hat.
Ein neuer Bericht von Group-IB erklärt, dass es die Aktivitäten von OPERA1ER seit 2019 verfolgt; Sie warteten jedoch mit der Veröffentlichung ihrer Ergebnisse, bis die Gruppe nach einer Pause im Jahr 2021 wieder auftauchte. Nun sei die Bande wieder im Einsatz, erklären die Analysten und erlauben Group-IB, ihre Taten zu dokumentieren OPERA1ER TTPs von 2019 bis 2021, sowie die neuesten Iteration im Jahr 2022.
Die Forscher berichteten, dass OPERA1ER seit 30 mindestens 2018 Mal erfolgreich in die Systeme der Zielpersonen eingedrungen sei. Als Beispiel für die Raffinesse und Koordination der Gruppe, so der Bericht weiter, nutzte einer der Angriffe der Gruppe mehr als 400 Maultierkonten, um betrügerische Geldabhebungen vorzunehmen .
Die Gruppe verwendet keine exotische Malware. Tatsächlich sagten die Forscher in dem Bericht, dass das Markenzeichen von OPERA1ER leicht zugängliche Open-Source-Malware und alltägliche Red-Team-Frameworks wie Metasploit und Cobalt Strike seien. OPERA1ER verbreitet Remote-Access-Trojaner (RATs) über französischsprachige E-Mail-Phishing-Köder und lässt sich Zeit, Informationen über seine Opfer zu sammeln, bevor es „auszahlt“, heißt es in dem Bericht weiter.
„Eine detaillierte Analyse der jüngsten Angriffe der Bande ergab ein interessantes Muster in ihrer Vorgehensweise: OPERA1ER führt Angriffe hauptsächlich an Wochenenden oder Feiertagen durch“, sagte Rustam Mirkasymov, Leiter der Cyber-Bedrohungsforschung bei Group-IB Europe, in einer Erklärung. „Das hängt mit der Tatsache zusammen, dass sie ab dem ersten Zugriff drei bis zwölf Monate mit Gelddiebstahl verbringen.“
Mirkasymov fügte hinzu, die Bande könnte ihren Sitz in Afrika haben und die Gesamtzahl der OPERA1ER-Gruppenmitglieder sei unbekannt.
