一个被研究人员称为 OPERA1ER 的威胁组织使用现成的黑客工具从非洲的银行和电信服务提供商那里窃取了至少 1100 万美元。
2018 年至 2022 年间,黑客发起了超过 35 次成功的攻击,其中约三分之一是在 2020 年进行的。
Group-IB 的分析师与 Orange 的 CERT-CC 部门合作,自 2019 年以来一直在跟踪 OPERA1ER,并注意到该组织去年改变了其技术、战术和程序 (TTP)。
由于担心失去威胁者的踪迹,这家网络安全公司等待该组织重新露面以发布更新的报告。今年,Group-IB 观察到黑客再次活跃起来。
OPERA1ER 攻击细节
该黑客组织由被认为在非洲开展活动的讲法语的成员组成。除了针对非洲的公司外,该团伙还袭击了阿根廷、巴拉圭和孟加拉国的组织。
OPERA1ER 依靠开源工具、商品恶意软件以及 Metasploit 和 Cobalt Strike 等框架来破坏公司服务器。
他们通过利用发票或邮政递送通知等热门话题的鱼叉式网络钓鱼电子邮件获得初始访问权限。
这些电子邮件包含传递第一阶段恶意软件的附件,其中包括 Netwire、bitrat、venomRAT、AgentTesla、Remcos、Neutrino、BlackNET 和 Venom RAT。Group-IB 还表示,黑客分发了密码嗅探器和转储程序。
据研究人员称,OPERA1ER 可以在受感染的网络中呆上三到十二个月,有时他们会两次攻击同一家公司。
研究人员表示,在访问受害者网络后,黑客还可能将基础设施用作其他目标的支点。
Group-IB 表示,威胁参与者创建了用法语编写的“高质量”鱼叉式网络钓鱼电子邮件。大多数情况下,这些信息冒充政府税务局或西非国家中央银行 (BCEAO) 的招聘代理人。
来源:Group-IB
OPERA1ER 使用被盗凭据访问电子邮件帐户并执行横向网络钓鱼,研究内部文档以了解汇款程序和保护机制,并仔细计划最后的兑现步骤。
通常,黑客针对控制大量资金的运营商账户,并使用被盗凭证将资金转移到频道用户账户,最终将它们转移到他们控制的订户账户中。
在今天的一份报告中, Group-IB 解释说 ,该团伙通过 ATM 网络提取现金。
“在研究人员研究的一个案例中,由 OPERA1ER 雇佣的钱骡控制的 400 多个用户账户网络被用来兑现被盗资金,主要是通过 ATM 在一夜之间完成” – Group-IB
通常,兑现事件发生在假期或周末,以最大限度地减少受损组织及时响应情况的机会。
针对受害银行,OPERA1ER 瞄准了 SWIFT 消息接口软件,该软件可以传达金融交易的所有详细信息,并窃取有关他们需要绕过的反欺诈系统的关键信息。
对于归因于 OPERA1ER 的攻击的危害指标 (IoC) 和技术细节的完整列表,Group-IB 发布了一份 75 页的技术报告。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » OPERA1ER黑客从银行和电信公司窃取了超过1100万美元
