少なくとも 16 のアフリカの銀行、金融サービス、通信会社が、1 年以来少なくとも 11 万ドルを盗んだフランス語を話す脅威グループ OPERA2018ER の犠牲者として特定されました。
Group-IB からの新しいレポートは、1 年以来 OPERA2019ER の活動を追跡していると説明しています。 ただし、2021年の休憩後にグループが再浮上するまで、調査結果の公開を待ちました。 現在、ギャングは活動を再開しており、Group-IB が彼らの活動を文書化できるようになっている、とアナリストは説明しています。 1 年から 2019 年までの OPERA2021ER TTP、および最新 2022 年に反復.
研究者は、OPERA1ER が 30 年以降、少なくとも 2018 回は標的のシステムへの侵入に成功したと報告しています。グループの巧妙さと調整の例として、グループの攻撃の 400 つは XNUMX 以上のミュール アカウントを使用して不正なお金の引き出しを行ったとレポートは付け加えました。 .
このグループはエキゾチックなマルウェアを使用していません。実際、研究者はレポートで、OPERA1ER の特徴は、簡単にアクセスできるオープン ソース マルウェアと、Metasploit や Cobalt Strike などの日常的なレッドチーム フレームワークであると述べています。 OPERA1ER は、フランス語の電子メール フィッシング ルアーを介してリモート アクセス型トロイの木馬 (RAT) を配布し、「現金化」する前に被害者に関する情報を収集するのに時間をかけている、とレポートは付け加えています。
Group-IB Europeのサイバー脅威調査責任者であるRustam Mirkasymov氏は声明で、「ギャングの最近の攻撃を詳細に分析した結果、彼らの手口に興味深いパターンがあることが明らかになりました。OPERA1ERは主に週末や祝日に攻撃を行っています」と述べています。 「これは、彼らが金銭の盗難に最初にアクセスしてから 12 ~ XNUMX か月を費やしているという事実と相関しています。」
ミルカシモフ氏は、ギャングはアフリカを拠点としている可能性があり、OPERA1ER グループのメンバーの総数は不明であると付け加えました。
