Fransızca konuşan bir tehdit aktörü OPERA1ER 2018 ve 2022 yılları arasında Afrika, Asya ve Latin Amerika’daki bankalara, finansal hizmetlere ve telekom şirketlerine yönelik 30’dan fazla başarılı siber saldırıyla bağlantılıdır.
Singapur merkezli siber güvenlik şirketi Group-IB’ye göre, saldırılar toplamda 11 milyon dolarlık hırsızlığa yol açtı ve gerçek zararın 30 milyon dolar olduğu tahmin ediliyor.
2021 ve 2021’deki daha yeni saldırılardan bazıları Burkina Faso, Benin, Fildişi Sahili ve Senegal’deki beş farklı bankayı seçti. Tespit edilen kurbanların çoğunun iki kez tehlikeye atıldığı ve altyapılarının daha sonra diğer örgütleri vurmak için silahlandırıldığı söyleniyor.
DESKTOP-GROUP, Common Raven ve NXSMS adlarıyla da bilinen OPERA1ER’ın 2016’dan beri aktif olduğu ve finansal amaçlı soygunlar gerçekleştirme ve hedefli kimlik avı saldırılarında daha fazla kullanılmak üzere belgelerin sızdırılması amacıyla faaliyet gösterdiği biliniyor.
Group-IB, “OPERA1ER genellikle hafta sonları ve resmi tatillerde çalışır” dedi. bildiri The Hacker News ile paylaşıldı ve düşmanın “tüm cephaneliğinin açık kaynaklı programlara ve truva atlarına veya karanlık ağda bulunabilen ücretsiz yayınlanmış RAT’lere dayandığını” ekledi.
Bu, diğerlerinin yanı sıra Nanocore, Netwire, Agent Teslam Venom RAT, BitRAT, Metasploit ve Cobalt Strike Beacon gibi kullanıma hazır kötü amaçlı yazılımları içerir.
Saldırı zinciri, öncelikle Fransızca ve daha az ölçüde İngilizce olarak yazılan fatura ve teslimat temalı yemlerle “yüksek kaliteli hedef odaklı kimlik avı e-postaları” ile başlar.
Bu mesajlar, ZIP arşiv ekleri veya Google Drive, Discord sunucuları, virüslü meşru web siteleri ve diğer aktör tarafından kontrol edilen etki alanlarına bağlantılar içerir ve bu da uzaktan erişim truva atlarının dağıtımına yol açar.
RAT yürütmesinde başarılı olan Metasploit Meterpreter ve Cobalt Strike Beacon gibi sömürü sonrası çerçeveler, kalıcı erişim, hasat kimlik bilgileri ve ilgili dosyaları sızdırmak için indirilir ve başlatılır, ancak arka uç operasyonlarını anlamak için uzun bir keşif döneminden önce değil.
Tehdit aktörünün, ilk izinsiz girişten ATM’lerden para çekmek için sahte işlemler yapmaya kadar üç ila 12 ay arasında herhangi bir yerde harcama yaptığı gözlemlenmiş olması bu gerçeği doğrulamaktadır.
Saldırının son aşaması, kurbanın dijital bankacılık arka ucuna girmeyi, düşmanın fonları yüksek değerli hesaplardan yüzlerce sahte hesaba taşımasına ve nihayetinde önceden kiralanan bir para katır ağının yardımıyla ATM’ler aracılığıyla nakit çekmesine olanak tanır. .
Group-IB, “Burada, kötü aktörler, çeşitli operatör kullanıcılarının oturum açma bilgilerini çalarak sisteme farklı seviyelerde erişim hakları biriktirmeyi başardıkları için, fonların saldırı ve hırsızlığı açıkça mümkün oldu” dedi.
Bir durumda, parayı yasa dışı bir şekilde çekmek için 400’den fazla katır abone hesabı kullanıldı, bu da “saldırının çok karmaşık, organize, koordineli ve uzun bir süre boyunca planlandığını” gösteriyor.
Telekom devi Orange ile işbirliği içinde yürütülen OPERA1ER’in bankacılık sahtekarlığı operasyonunu yalnızca kamuya açık kötü amaçlı yazılımlara güvenerek başardığı bulguları, kuruluşların iç ağlarını incelemek için harcanan çabayı vurguluyor.
Şirket, “OPERA1ER’ın cephaneliğinde sıfır gün tehdidi yok ve saldırılar genellikle üç yıl önce keşfedilen güvenlik açıkları için açıklardan yararlanıyor” dedi. “Hedeflenen sistemde yavaş ve dikkatli bir şekilde ilerleyerek, üç yıldan kısa bir sürede tüm dünyada en az 30 saldırıyı başarıyla gerçekleştirebildiler.”