En az 16 Afrika bankası, finansal hizmet ve telekomünikasyon şirketinin, 1'den bu yana en az 11 milyon dolar çalan Fransızca konuşan tehdit grubu OPERA2018ER'in kurbanı olduğu belirlendi.
Group-IB'nin yeni bir raporunda OPERA1ER'in faaliyetlerinin 2019'dan bu yana takip edildiği belirtiliyor; ancak bulgularını yayınlamak için grup 2021'deki aradan sonra yeniden ortaya çıkana kadar beklediler. Analistler, artık çetenin tekrar faaliyete geçtiğini ve Grup-IB'nin kendi faaliyetlerini belgelemesine olanak sağladığını açıklıyor. 1'dan 2019'e kadar OPERA2021ER TTP'leri, hem de en son 2022'de yineleme.
Araştırmacılar, OPERA1ER'in 30'den bu yana hedef sistemleri en az 2018 kez başarıyla ihlal ettiğini bildirdi. Raporda, grubun gelişmişlik ve koordinasyonunun bir örneği olarak, grubun saldırılarından birinde hileli para çekme işlemleri gerçekleştirmek için 400'den fazla katır hesabının kullanıldığı belirtildi. .
Grup egzotik kötü amaçlı yazılım kullanmıyor; aslında araştırmacılar, raporda OPERA1ER'in ayırt edici özelliğinin kolayca erişilebilen açık kaynaklı kötü amaçlı yazılım ve Metasploit ve Cobalt Strike gibi günlük kırmızı takım çerçeveleri olduğunu söyledi. Raporda, OPERA1ER'in, Fransızca e-posta kimlik avı tuzakları yoluyla uzaktan erişim Truva Atları (RAT'lar) sağladığı ve "para çekmeden" önce kurbanları hakkında bilgi toplamaya zaman ayırdığı belirtildi.
Grup-IB Avrupa'nın siber tehdit araştırma başkanı Rustam Mirkasymov yaptığı açıklamada, "Çetenin son saldırılarının ayrıntılı analizi, çalışma tarzlarında ilginç bir modeli ortaya çıkardı: OPERA1ER saldırıları çoğunlukla hafta sonları veya resmi tatillerde gerçekleştiriyor" dedi. "Bu, para hırsızlığına ilk erişimden itibaren üç ila 12 ay arasında harcama yaptıkları gerçeğiyle bağlantılı."
Mirkasymov, çetenin Afrika merkezli olabileceğini ve OPERA1ER grup üyelerinin toplam sayısının bilinmediğini ekledi.