Minst 16 afrikanska banker, finansiella tjänster och telekommunikationsföretag har identifierats som offer för den fransktalande hotgruppen OPERA1ER, som har stulit minst 11 miljoner dollar sedan 2018.
En ny rapport från Group-IB förklarar att den har spårat OPERA1ER:s aktiviteter sedan 2019; men de väntade med att publicera sina resultat tills gruppen återuppstod efter ett uppehåll 2021. Nu är gänget tillbaka i aktion, förklarar analytikerna och låter Group-IB dokumentera sina OPERA1ER TTP från 2019 till 2021, liksom det senaste upprepning 2022.
Forskarna rapporterade att OPERA1ER framgångsrikt har brutit mot målens system minst 30 gånger sedan 2018. Som ett exempel på gruppens sofistikerade och samordning, tillade rapporten, att en av gruppens attacker använde mer än 400 mulekonton för att göra bedrägliga pengaruttag .
Gruppen använder inte exotisk skadlig programvara, i själva verket sa forskarna i rapporten att OPERA1ER:s kännetecken är lättillgänglig skadlig programvara med öppen källkod och vardagliga ramverk som Metasploit och Cobalt Strike. OPERA1ER levererar trojaner med fjärråtkomst (RAT) genom franskspråkiga e-postnätfiske och tar sin tid på att samla in intelligens om sina offer innan de "utbetalar", tillade rapporten.
"Detaljerad analys av gängets senaste attacker avslöjade ett intressant mönster i deras modus operandi: OPERA1ER utför attacker främst under helger eller allmänna helgdagar," sa Rustam Mirkasymov, chef för cyberhotsforskning på Group-IB Europe, i ett uttalande. "Det korrelerar med det faktum att de spenderar från tre till 12 månader från den första tillgången till pengarstöld."
Mirkasymov tillade att gänget kunde vara baserat från Afrika och det totala antalet OPERA1ER-gruppmedlemmar är okänt.
