05.11.2022 | Группировка OPERA1ER: преступная сеть из предприимчивых хакеров |
Группировка OPERA1ER украла не менее $11 млн. у банков и поставщиков телекоммуникационных услуг в Африке, используя готовые хакерские инструменты. Об этом заявили исследователи Group-IB в новом отчете . В период с 2018 по 2022 год хакеры провели более 35 успешных атак, около 30% из них осуществлялись в 2020 году. Аналитики Group-IB отслеживают APT -группу OPERA1ER с 2019 года и заметили, что в 2021 году группа изменила свои тактики, техники и процедуры ( TTPs ).
Обзор деятельности OPERA1ER Группа хакеров состоит из франкоговорящих участников, которые, как полагают эксперты, действуют из Африки. Помимо африканских компаний, группа также атаковала организации в Аргентине, Парагвае и Бангладеш. Для компрометации серверов жертв OPERA1ER использует инструменты с открытым исходным кодом, стандартные вредоносные программы и фреймворки, такие как Metasploit и Cobalt Strike . В обнаруженной компании OPERA1ER использует фишинговые электронные письма, написанные на французском языке. В большинстве случаев сообщения выдают себя за налоговую службу или за отдел кадров Центрального банка западноафриканских государств (BCEAO). Вложения писем доставляют множество вредоносных программ, в том числе:
Group-IB также сообщает, что хакеры распространяли снифферы и инструменты для подбора паролей. По словам исследователей, OPERA1ER могут находиться внутри скомпрометированных сетей от 3 до 12 месяцев, а иногда они атакуют одну и ту же компанию дважды. Также эксперты заявили, что хакеры могут использовать скомпрометированную инфраструктуру в качестве опорной точки для других целей.
Одно из фишинговых писем OPERA1ER Используя украденные учетные данные, OPERA1ER получает доступ к аккаунтам почты и осуществляет боковой фишинг, а затем изучает внутреннюю документацию, чтобы понять процедуры денежных переводов и механизмы защиты. В конечном итоге киберпреступники незаметно крадут средства. Хакеры нацелены на аккаунты операторов, которые контролируют большие суммы денег, и используют украденные учетные данные для перевода средств на счета подписчиков Telegram канала, находящихся под контролем киберпреступников.
Процедура обналичивания денег OPERA1ER По словам Group-IB, злоумышленники снимают наличные через сеть банкоматов. В одном случае сеть из более 400 абонентских счетов, контролируемых нанятыми денежными мулами, использовалась для обналичивания украденных средств, в основном через банкоматы. Обычно обналичивание проводилось в праздничный или выходной день, чтобы свести к минимуму шансы скомпрометированных организаций вовремя отреагировать на ситуацию. В банках-жертвах OPERA1ER скомпрометировал систему SWIFT, которая передает все детали финансовых транзакций, и перекачал ключевую информацию о системах защиты от мошенничества, которые хакерам нужно было обойти. |
Проверить безопасность сайта