Minst 16 afrikanske banker, finanstjenester og telekommunikasjonsselskaper har blitt identifisert som ofre for den fransktalende trusselgruppen OPERA1ER, som har stjålet minst 11 millioner dollar siden 2018.
En ny rapport fra Group-IB forklarer at den har sporet OPERA1ERs aktiviteter siden 2019; imidlertid ventet de med å publisere funnene til gruppen dukket opp igjen etter en pause i 2021. Nå er gjengen tilbake i aksjon, forklarer analytikerne, og lar Group-IB dokumentere sine OPERA1ER TTP-er fra 2019 til 2021, samt det siste iterasjon i 2022.
Forskerne rapporterte at OPERA1ER har brutt målenes systemer minst 30 ganger siden 2018. Som et eksempel på gruppens raffinement og koordinering, la rapporten til, at et av gruppens angrep brukte mer enn 400 muldyrkontoer til å foreta uredelige pengeuttak .
Gruppen bruker faktisk ikke eksotisk skadelig programvare, sa forskerne i rapporten at OPERA1ERs kjennetegn er lett tilgjengelig åpen kildekode-malware og hverdagslige rammeverk som Metasploit og Cobalt Strike. OPERA1ER leverer trojanere med fjerntilgang (RAT-er) gjennom franskspråklige e-postfiske-lokker og tar seg tid til å samle etterretning om ofrene før de «utbetaler», la rapporten til.
"Detaljert analyse av gjengens nylige angrep avslørte et interessant mønster i deres modus operandi: OPERA1ER utfører angrep hovedsakelig i helger eller helligdager," sa Rustam Mirkasymov, leder for cybertrusselforskning ved Group-IB Europe, i en uttalelse. "Det korrelerer med det faktum at de bruker fra tre til 12 måneder fra den første tilgangen til pengetyveri."
Mirkasymov la til at gjengen kunne være basert fra Afrika og det totale antallet OPERA1ER-gruppemedlemmer er ukjent.
