Minstens zestien Afrikaanse banken, financiële dienstverleners en telecommunicatiebedrijven zijn geïdentificeerd als slachtoffers van de Franstalige dreigingsgroep OPERA16ER, die sinds 1 minstens 11 miljoen dollar heeft gestolen.
In een nieuw rapport van Group-IB wordt uitgelegd dat het de activiteiten van OPERA1ER sinds 2019 volgt; Ze wachtten echter met het publiceren van hun bevindingen totdat de groep na een pauze in 2021 weer boven water kwam. Nu is de bende weer in actie, leggen de analisten uit, waardoor Group-IB hun activiteiten kan documenteren OPERA1ER TTP's van 2019 tot en met 2021, evenals de nieuwste herhaling in 2022.
De onderzoekers meldden dat OPERA1ER sinds 30 minstens dertig keer met succes de systemen van de doelwitten heeft doorbroken. Als voorbeeld van de verfijning en coördinatie van de groep, voegde het rapport eraan toe, werd bij een van de aanvallen van de groep meer dan 2018 muilezelaccounts gebruikt om frauduleuze geldopnames te maken. .
De groep maakt geen gebruik van exotische malware. De onderzoekers zeiden in het rapport dat het kenmerk van OPERA1ER bestaat uit gemakkelijk toegankelijke open source-malware en alledaagse red-team-frameworks zoals Metasploit en Cobalt Strike. OPERA1ER levert Trojaanse paarden (RAT's) op afstand via Franstalige e-mailphishing-lokmiddelen en neemt de tijd om informatie over zijn slachtoffers te verzamelen voordat hij 'uitbetaalt', aldus het rapport.
“Gedetailleerde analyse van de recente aanvallen van de bende bracht een interessant patroon in hun modus operandi aan het licht: OPERA1ER voert aanvallen voornamelijk uit tijdens het weekend of op feestdagen”, zegt Rustam Mirkasymov, hoofd onderzoek naar cyberdreigingen bij Group-IB Europe, in een verklaring. “Het komt overeen met het feit dat ze vanaf de eerste toegang drie tot twaalf maanden besteden aan gelddiefstal.”
Mirkasymov voegde eraan toe dat de bende mogelijk buiten Afrika gevestigd zou kunnen zijn en dat het totale aantal OPERA1ER-groepsleden onbekend is.
