Legalább 16 afrikai bankot, pénzügyi szolgáltatót és távközlési vállalatot azonosítottak a francia ajkú OPERA1ER fenyegetőcsoport áldozataiként, amely 11 óta legalább 2018 millió dollárt lopott el.
A Group-IB új jelentése kifejti, hogy 1 óta követi nyomon az OPERA2019ER tevékenységét; azonban megvárták az eredmények közzétételét, amíg a csoport egy 2021-es szünet után újra felbukkan. Most a banda újra akcióba lendül, magyarázzák az elemzők, lehetővé téve az IB-csoport számára, hogy dokumentálja a sajátjukat OPERA1ER TTP-k 2019 és 2021 között, valamint a legújabb iteráció 2022-ben.
A kutatók arról számoltak be, hogy az OPERA1ER 30 óta legalább 2018 alkalommal sikeresen feltörte a célpontok rendszerét. A csoport kifinomultságának és koordinációjának példájaként – tette hozzá a jelentés – a csoport egyik támadása több mint 400 öszvérszámlát használt fel csalárd pénzkivonásra. .
A csoport nem használ egzotikus rosszindulatú programokat, sőt, a kutatók azt mondták a jelentésben, hogy az OPERA1ER fémjelzi a könnyen hozzáférhető nyílt forráskódú rosszindulatú szoftvereket és a mindennapi red-team keretrendszereket, mint például a Metasploit és a Cobalt Strike. Az OPERA1ER francia nyelvű e-mailes adathalász csalókon keresztül távoli hozzáférésű trójaiakat (RAT) szállít, és időt szán arra, hogy információkat gyűjtsön áldozatairól, mielőtt "kifizetné" - tette hozzá a jelentés.
"A banda közelmúltbeli támadásainak részletes elemzése érdekes mintát tárt fel működési módjukban: az OPERA1ER főként hétvégén vagy ünnepnapokon hajt végre támadásokat" - mondta Rusztam Mirkasimov, a Group-IB Europe kiberfenyegetés-kutatási részlegének vezetője. "Ez összefügg azzal a ténnyel, hogy a kezdeti pénzlopástól számítva 12-XNUMX hónapot töltenek."
Mirkasymov hozzátette, hogy a banda Afrikán kívüli székhelyű lehet, és az OPERA1ER csoport tagjainak teljes száma nem ismert.
