至少 16 家非洲银行、金融服务和电信公司已被确定为法语威胁组织 OPERA1ER 的受害者,该组织自 11 年以来已窃取至少 2018 万美元。
Group-IB 的一份新报告解释说,自 1 年以来,它一直在跟踪 OPERA2019ER 的活动;然而,他们等到该组织在 2021 年中断后重新出现后才公布调查结果。分析师解释说,现在该团伙又开始行动了,让 Group-IB 能够记录他们的行动。 1 年至 2019 年 OPERA2021ER TTP,以及最新的 2022年迭代.
研究人员报告称,自 1 年以来,OPERA30ER 已成功入侵目标系统至少 2018 次。报告补充说,作为该组织复杂性和协调性的一个例子,该组织的其中一次攻击使用了 400 多个骡子账户进行欺诈性提款。
事实上,研究人员在报告中表示,该组织并不使用外来恶意软件,OPERA1ER 的标志是易于访问的开源恶意软件和 Metasploit 和 Cobalt Strike 等日常红队框架。报告补充说,OPERA1ER 通过法语电子邮件网络钓鱼诱饵传播远程访问木马 (RAT),并在“兑现”之前花时间收集有关受害者的情报。
Group-IB Europe 网络威胁研究主管 Rustam Mirkasymov 在一份声明中表示:“对该团伙最近发起的攻击的详细分析揭示了他们的作案手法中一个有趣的模式:OPERA1ER 主要在周末或公共假期进行攻击。” “这与他们从第一次盗窃钱财起花费了 12 到 XNUMX 个月的时间这一事实有关。”
米尔卡西莫夫补充说,该团伙可能以非洲为基地,但 OPERA1ER 团伙成员的总数尚不清楚。
