一个被称为“OPA1ER”讲法语的攻击组织在2018年至2022年期间,针对非洲、亚洲和拉丁美洲的银行、金融服务和电信公司,共发起了30多次成功的网络攻击。
据总部在新加坡的网络安全公司Group-IB称,这些攻击导致了上述企业共损失经济总额为1100万美元,实际损失估计高达3000万美元。
在2021年和2022年期间,该攻击组织对布基纳法索、贝宁、象牙海岸和塞内加尔的五家银行成功进行网路攻击。更重要的是,许多确认的受害组织事少被破坏了两次,他们的基础设施随后被武器化,以打击其他组织。
OPERA1ER,也被称为DESKTOP-GROUP、Common Raven和NXSMS,自2016年以来一直在活动,其目标是直接对企业进行经济抢劫,获取机密文件和数据,以进一步用于鱼叉式攻击。
Group-IB公司曾表示,"OPERA1ER经常在周末和公共假期发起攻击,其常用的武库大多基于开源程序和木马,或在暗网上可以找到的免费发布的RAT。"包括现成的恶意软件,如Nanocore、Netwire、Agent Teslam Venom RAT、BitRAT、Metasploit和Cobalt Strike Beacon等。
从现有的信息来看,攻击往往从 "高质量的鱼叉式网络钓鱼邮件 "开始,其诱饵是发票等交付内容,主要用法语编写,其次是英语。邮件中的ZIP附件可以链接到Google Drive、Discord服务器、受感染的合法网站和其他行为人控制的域,并借此部署远程访问木马的部署。
在RAT执行成功后,会自动下载并启动Metasploit Meterpreter和Cobalt Strike Beacon等后开发框架,以建立持久的访问通道,随后获取网站证书、系统数据等敏感信息,为后续访问打下基础。
根据观察,该攻击组织从最初入侵到进行欺诈性交易再到自动取款机上取钱,需要花费3至12个月的时间。攻击的最后阶段是入侵受害组织的数字银行后台,并将资金从高价值账户转移到数百个流氓账户,并最终在事先雇用的运钞车网络的帮助下通过自动取款机将其兑现。
Group-IB解释称:在上述案例中,攻击和盗取资金可能性比较高,因为该攻击者通过窃取不同运营商用户的登录凭证,设法积累了不同级别的系统访问权限。例如在某个案例中,攻击者使用了400个流氓账户来非法转移资金,其攻击非常复杂,展现出高组织性,协调性,并在很长一段时间内进行计划。
与电信巨头Orange合作进行的调查发现,OPERA1ER仅依靠公开可用的恶意软件就成功完成了银行欺诈行动,这凸显了为研究组织的内部网络所做的努力。
OPERA1ER的武器库中没有使用零日漏洞,而且攻击经常使用三年前发现的漏洞。通过缓慢而谨慎地在目标系统中步步为营,使他们能够在不到三年的时间里在世界各地成功地进行了至少30次攻击。
参考来源:
https://thehackernews.com/2022/11/researchers-detail-opera1er-apt-attacks.html
精彩推荐