Ένας απειλητικός παράγοντας που οι ερευνητές αποκαλούν OPERA1ER έχει κλέψει τουλάχιστον 11 εκατομμύρια δολάρια από τράπεζες και παρόχους τηλεπικοινωνιακών υπηρεσιών στην Αφρική χρησιμοποιώντας εργαλεία hacking off-the-shelf.
Από το 2018 έως το 2022, οι χάκερ πραγματοποίησαν περισσότερες από 35 επιθέσεις – με σχεδόν το ένα τρίτο να λαμβάνει χώρα πέρυσι.
Δείτε επίσης: Οι χειριστές του RomCom RAT εκμεταλλεύονται γνωστά λογισμικά για τη διανομή του malware
Η ομάδα αναλυτών Group-IB, σε συνεργασία με το τμήμα CERT-CC της Orange, παρακολουθεί την ομάδα OPERA1ER από το 2019. Παρατήρησαν ότι η ομάδα άλλαξε τις τεχνικές, τις τακτικές και τις διαδικασίες της (TTPs) πέρυσι.
Ανησυχώντας για την απώλεια των ιχνών του απειλητικού παράγοντα, η εταιρεία κυβερνοασφάλειας περίμενε να εμφανιστεί ξανά η ομάδα για να δημοσιεύσει μια ενημερωμένη έκθεση. Φέτος, το Group-IB παρατήρησε ότι οι χάκερ ήταν ενεργοί για άλλη μια φορά.
Λεπτομέρειες των επιθέσεων OPERA1ER
Η ομάδα hacking, η οποία αποτελείται κυρίως από γαλλόφωνους που κατάγονται από την Αφρική, είναι γνωστό ότι στοχεύει εταιρείες εκτός της ηπείρου, όπως στην Αργεντινή, την Παραγουάη και το Μπαγκλαντές.
Για να διεισδύσει σε εταιρικούς servers, η ομάδα OPERA1ER χρησιμοποιεί εργαλεία ανοιχτού κώδικα, malware και frameworks όπως το Metasploit και το Cobalt Strike.
Αρχικά αποκτούν πρόσβαση στους λογαριασμούς των ανθρώπων μέσω spear-phishing emails που συζητούν δημοφιλή θέματα, όπως τιμολόγια ή ειδοποιήσεις ταχυδρομικής παράδοσης.
Τα emails έχουν συνημμένα που παρέχουν το κακόβουλο λογισμικό πρώτου σταδίου, μεταξύ των οποίων τα Netwire, bitrat, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET και Venom RAT.
Οι ερευνητές διαπίστωσαν ότι η ομάδα OPERA1ER μπορεί να παραμείνει μέσα σε ένα παραβιασμένο δίκτυο για 3-12 μήνες και μερικές φορές επιστρέφει για να επιτεθεί ξανά στην ίδια εταιρεία.
Δείτε επίσης: Η νέα ομάδα Crimson Kingsnake υποδύεται δικηγορικά γραφεία σε επιθέσεις BEC
Οι ερευνητές λένε ότι αφού αποκτήσουν πρόσβαση σε ένα δίκτυο θύματος, οι χάκερ μπορούν επίσης να χρησιμοποιήσουν την υποδομή ως σημείο εκκίνησης για άλλους στόχους.
Η Group-IB λέει ότι ο απειλητικός παράγοντας δημιουργεί «υψηλής ποιότητας» spear-phishing emails που είναι γραμμένα στα γαλλικά. Τις περισσότερες φορές, τα μηνύματα υποδύονται είτε την κρατική εφορία είτε έναν πράκτορα προσλήψεων από την Κεντρική Τράπεζα των Κρατών της Δυτικής Αφρικής (BCEAO).
Η ομάδα OPERA1ER κλέβει credentials για να αποκτήσει πρόσβαση σε λογαριασμούς ηλεκτρονικού ταχυδρομείου, και στη συνέχεια εκτελεί lateral phishing, μελετά την εσωτερική τεκμηρίωση για να κατανοήσει τις διαδικασίες μεταφοράς χρημάτων και τους μηχανισμούς προστασίας και σχεδιάζει προσεκτικά το τελικό βήμα εξαργύρωσης.
Δείτε επίσης: LockBit ransomware: Η συμμορία απειλεί να διαρρεύσει δεδομένα της Continental
Συνήθως, οι χάκερ στόχευαν λογαριασμούς χειριστή που έλεγχαν μεγάλα χρηματικά ποσά και χρησιμοποιούσαν κλεμμένα credentials για να μεταφέρουν τα χρήματα σε λογαριασμούς χρηστών καναλιού, μεταφέροντάς τα τελικά σε λογαριασμούς συνδρομητών υπό τον έλεγχό τους.
Στη σημερινή της έκθεση, η Group-IB εξηγεί ότι τα μέλη της συμμορίας “εξαργυρώνουν” τα μετρητά μέσω ενός δικτύου ΑΤΜ.
Για να μειωθεί η πιθανότητα εντοπισμού, συνήθως αυτά τα γεγονότα εξαργύρωσης συνέβαιναν σε αργίες ή κατά τη διάρκεια του Σαββατοκύριακου.
Σε αντίθεση με άλλες απάτες που κλέβουν χρήματα από τράπεζες, η OPERA1ER στόχευσε ειδικά το messaging interface software SWIFT προκειμένου να αποκτήσει λεπτομέρειες σχετικά με τα συστήματα καταπολέμησης της απάτης και να τα παρακάμψει.
Η Group-IB δημοσίευσε μια τεχνική έκθεση 75 σελίδων, στην οποία περιγράφονται λεπτομερώς όλοι οι δείκτες παραβίασης (IoCs) και οι πληροφορίες σχετικά με τις επιθέσεις που αποδίδονται στην OPERA1ER.
Πηγή πληροφοριών: bleepingcomputer.com
