حداقل 16 بانک، خدمات مالی و شرکت مخابراتی آفریقایی به عنوان قربانیان گروه تهدید فرانسوی زبان OPERA1ER شناسایی شده اند که از سال 11 حداقل 2018 میلیون دلار سرقت کرده است.
گزارش جدیدی از Group-IB توضیح می دهد که از سال 1 فعالیت های OPERA2019ER را دنبال می کند. با این حال، آنها منتظر ماندند تا یافتههای آن را منتشر کنند تا این که گروه پس از یک وقفه در سال 2021 دوباره ظاهر شد. تحلیلگران توضیح می دهند که اکنون باند دوباره وارد عمل شده است و به Group-IB اجازه می دهد تا آنها را مستند کند TTP های OPERA1ER از 2019 تا 2021، و همچنین آخرین تکرار در سال 2022.
محققان گزارش دادند که OPERA1ER از سال 30 تاکنون حداقل 2018 بار سیستم اهداف را با موفقیت نقض کرده است. گزارش اضافه کرد که به عنوان نمونه ای از پیچیدگی و هماهنگی گروه، در یکی از حملات این گروه از بیش از 400 حساب کاربری برای برداشت پول های جعلی استفاده شده است. .
این گروه از بدافزارهای عجیب و غریب استفاده نمیکند، در واقع، محققان در گزارش گفتند که مشخصه OPERA1ER بدافزار منبع باز و چارچوبهای روزمره تیم قرمز مانند Metasploit و Cobalt Strike است. OPERA1ER تروجانهای دسترسی از راه دور (RAT) را از طریق فریبهای فیشینگ ایمیل به زبان فرانسوی ارائه میکند و وقت خود را صرف جمعآوری اطلاعات درباره قربانیان خود قبل از «نقد کردن» میکند.
رستم میرکاسیموف، رئیس تحقیقات تهدیدات سایبری در Group-IB Europe در بیانیهای گفت: «تحلیل دقیق حملات اخیر این باند الگوی جالبی را در شیوهی عملکرد آنها نشان داد: OPERA1ER حملات را عمدتاً در تعطیلات آخر هفته یا تعطیلات رسمی انجام میدهد. "این با این واقعیت مرتبط است که آنها از سه تا 12 ماه از دسترسی اولیه به سرقت پول می گذرانند."
میرکاسیموف افزود که این باند ممکن است خارج از آفریقا مستقر باشد و تعداد کل اعضای گروه OPERA1ER مشخص نیست.