Эксперты Symantec выявили связь между группами Bluebottle и OPERA1ER

Исследователи из Symantec обнаружили , что деятельность группировки Bluebottle совпадает с TTPs группы OPERA1ER.

По словам аналитиков, участники Bluebottle использовали подписанный драйвер Windows в атаках на банки во франкоязычных странах. Примечательно, что группа OPERA1ER состоит из франкоговорящих хакеров и базируется в Африке, атакуя местные организации, а также компании в Аргентине, Парагвае и Бангладеш. По словам Symantec, действия и цели хакеров из обеих групп совпадают.

Исследователи выяснили, что обе группировки использовали инструмент GuLoader для загрузки вредоносных программ и подписанного драйвера, а также отключения средств защиты в сети жертвы.

GuLoader состоит из двух компонентов:

• DLL-библиотека, которая считывает список процессов;
• Подписанный «вспомогательный» драйвер, который управляется «основным» драйвером и используется для завершения процессов в списке.

Обнаруженный образец подписан цифровым сертификатом китайской компании Zhuhai Liancheng Technology Co., Ltd, что указывает на наличие у киберпреступников связей с провайдерами, которые могут предоставлять законные подписи от доверенных лиц. Кроме того, хакеры использовали ISO-образы в качестве начального вектора заражения в ходе целевой фишинговой кампании.

Исследователи Symantec проанализировали атаки Bluebottle на 3 финансовых учреждения в африканских странах. В одном из них злоумышленники использовали несколько инструментов и утилит двойного назначения, уже имеющихся в системе (Quser, Ngrok, Net localgroup, Netsh и др.)

Также Bluebottle использовали вредоносные программы GuLoader, Mimikatz, Reveal Keylogger и RAT-троян Netwire. Хакеры совершали боковое перемещение через 3 недели после первоначальной компрометации, используя командную строку и PsExec.