根据新加坡的网络安全公司Group-IB发布的报告,名为OPERA1ER的APT组织被认定与 2018 年至 2022 年期间针对非洲、亚洲和拉丁美洲的银行、金融服务和电信公司的一系列 30 多次网络攻击有关。这些攻击直接盗窃金额达1100万美元,实际损失估计高达3000万美元。
2021 年和最近的一些攻击中,布基纳法索、贝宁、科特迪瓦和塞内加尔的五家不同银行甚至遭到两次以上攻击,并且他们的基础设施随后被武器化,用以打击其他组织。
OPERA1ER组织,也称为DESKTOP-GROUP、Common Raven和NXSMS,自2016年以来一直活跃,其运营目标是进行出于经济动机的抢劫和泄露文档以进一步用于鱼叉式网络钓鱼攻击。
“OPERA1ER经常在周末和公共假期进行活动,”Group-IB的报告中表示,并补充说该组织的“整个武器库都基于开源程序和木马,或者可以在暗网上找到的免费发布的RAT。
这包括现成的恶意软件,如Nanocore,Netwire,Agent Teslam Venom RAT,BitRAT,Metasploit和Cobalt Strike Beacon等。
攻击链从“高质量的鱼叉式网络钓鱼电子邮件”开始,发票和交付主题诱饵主要用法语编写,剩下一小部分用英语编写。
这些邮件包含 ZIP 存档附件或指向 Google 云端硬盘、Discord 服务器、受感染的合法网站和其他受攻击者控制的域的链接,从而导致部署远程访问木马。
成功执行RAT后,下载并启动Metasploit Meterpreter和Cobalt Strike Beacon等开发后框架,以建立持久访问,收集凭据并泄露感兴趣的文件。
据观察,威胁行为者从最初的入侵到进行欺诈易以从 ATM 取款花费了 3 到 12 个月的时间,这一事实证实了这一点。
攻击的最后阶段涉及闯入受害者的数字银行后端,使对手能够将资金从高价值账户转移到数百个“跑分”账户,并最终在提前雇用的马仔帮助下通过 ATM 兑现。
评论前必须登录!
注册