OPERA1ER APT 駭客盯上非洲數十家金融組織(11.03)
一個被稱為OPA1ER講法語的駭客被指與從2018年至2022年期間針對非洲、亞洲和拉丁美洲的銀行、金融服務和電信公司發起的30多次成功的網路攻擊有關。
詳細情況
據總部設在新加坡的網路安全公司Group-IB稱,這些攻擊導致了總額為1100萬美元的失竊,實際損失估計高達3000萬美元。
最近發生在2021年和2021年的一些攻擊針對布吉納法索、貝南、象牙海岸和塞內加爾的五家不同銀行。據說,許多被確認的受害者已經被入侵了兩次,他們的基礎設施隨後被武器化以攻擊其他組織。
OPERA1ER,也被稱為DESKTOP-GROUP、Common Raven和NXSMS,已知自2016年以來一直在活躍,其目標是進行有經濟動機的檔案竊取和洩露,以進一步用於魚叉式攻擊。
"OPERA1ER經常在週末和公共假期行動,"Group-IB在一份與《駭客新聞》分享的報告中說,對手的 "整個武庫是基於開源程式和木馬,或在暗網上可以找到的免費釋出的遠端管理工具。"
這包括現成的惡意軟體,如Nanocore、Netwire、Agent Teslam Venom RAT、BitRAT、Metasploit和Cobalt Strike Beacon,等等。
攻擊鏈從 "高質量的魚叉式網路釣魚郵件 "開始,其發票和交付主題的釣魚郵件主要用法語編寫,其次是英語。
這些郵件包含ZIP檔案附件或指向Google Drive、Discord伺服器、受感染的合法網站和其他參與者控制的域的連結,這會導致遠端訪問木馬的部署。
在遠端管理工具執行成功後,下載並啟動了Metasploit Meterpreter和Cobalt Strike Beacon等後滲透框架,以建立持久的訪問,收集憑證,和洩露感興趣的檔案,但在延長偵察期以瞭解後臺操作之前不會。
事實證明,威脅者從最初入侵到進行欺詐性交易從自動取款機上取錢,需要花費3至12個月的時間。
攻擊的最後階段涉及入侵受害者的數字銀行後臺,使攻擊者能夠將資金從高價值賬戶轉移到數百個流氓賬戶,並最終在事先僱用的錢騾網路的幫助下透過自動取款機將其兌現。
"Group-IB解釋說:"在這裡,攻擊和盜取資金顯然是可能的,因為不良行為者透過竊取不同運營商使用者的登入憑證,設法積累了不同級別的系統訪問許可權。
在一個例子中,超過400個騾子使用者賬戶被用來非法抽走資金,這表明 "攻擊是非常複雜的,有組織的,協調一致的,並計劃了很長一段時間。
與電信巨頭Orange合作進行的調查發現,OPERA1ER僅依靠公開可用的惡意軟體就成功完成了銀行欺詐行動,這凸顯了為研究組織的內部網路所做的努力。
該公司指出:"OPERA1ER的武器庫中沒有零日威脅,而且攻擊經常使用三年前發現的漏洞的利用程式"。透過緩慢而謹慎地在目標系統中步步為營,這才使他們能夠在不到三年的時間裡在世界各地成功地進行了至少30次攻擊。
參考連結
https://thehackernews.com/2022/11/researchers-detail-opera1er-apt-attacks.html?&web_view=true