Щонайменше 16 африканських банків, фінансових послуг і телекомунікаційних компаній були ідентифіковані як жертви франкомовної групи загроз OPERA1ER, яка вкрала щонайменше 11 мільйонів доларів з 2018 року.
У новому звіті Group-IB пояснюється, що вона відстежує діяльність OPERA1ER з 2019 року; однак вони чекали публікації своїх висновків, доки група не відновилася після перерви у 2021 році. Зараз банда знову в дії, пояснюють аналітики, що дозволяє Group-IB задокументувати їх TTP OPERA1ER з 2019 по 2021 рік, а також останні ітерація в 2022 році.
Дослідники повідомили, що OPERA1ER з 30 року успішно зламав системи цілей щонайменше 2018 разів. Як приклад витонченості та координації групи, додається у звіті, одна з атак групи використовувала понад 400 облікових записів мулів для шахрайського зняття грошей. .
Група не використовує екзотичне зловмисне програмне забезпечення. Насправді дослідники зазначають у звіті, що відмінною рисою OPERA1ER є легкодоступне зловмисне програмне забезпечення з відкритим кодом і повсякденні фреймворки червоної команди, такі як Metasploit і Cobalt Strike. OPERA1ER доставляє троянів віддаленого доступу (RAT) через франкомовну електронну пошту, що приманює фішинг, і витрачає час на збір інформації про своїх жертв, перш ніж «вивести гроші», додається у звіті.
«Детальний аналіз нещодавніх атак угруповання виявив цікаву закономірність у їхньому способі дії: OPERA1ER проводить атаки переважно у вихідні або святкові дні», — заявив у заяві Рустам Міркасимов, керівник відділу досліджень кіберзагроз у Group-IB Europe. «Це корелює з тим фактом, що вони витрачають від трьох до 12 місяців від першого доступу до крадіжки грошей».
Міркасимов додав, що банда може базуватися в Африці, а загальна кількість учасників групи OPERA1ER невідома.