Un grupo de ciberdelincuencia denominado Bluebottle se ha relacionado con una serie de ataques dirigidos contra el sector financiero en países francófonos ubicados en África desde al menos julio de 2022 hasta septiembre de 2022.
«El grupo hace un uso extensivo de herramientas de doble uso y malware básico, sin malware personalizado implementado en esta campaña», Symantec, una división de Broadcom Software, dicho en un informe compartido con The Hacker News.
La firma de ciberseguridad dijo que las acciones de actividad se superponen con un grupo de amenazas rastreado por Group-IB bajo el nombre OPERA1ER, que ha llevado a cabo docenas de ataques dirigidos a bancos, servicios financieros y empresas de telecomunicaciones en África, Asia y América Latina entre 2018 y 2022.
La atribución se deriva de las similitudes en el conjunto de herramientas utilizado, la infraestructura de ataque, la ausencia de malware a medida y la orientación de las naciones de habla francesa en África. Se violaron tres instituciones financieras diferentes sin nombre en tres naciones africanas, aunque no se sabe si Bluebottle monetizó con éxito los ataques.
El adversario motivado financieramente, también conocido con el nombre DESKTOP-GROUP, ha sido responsable de una serie de atracos por un total de $11 millones, con daños reales que alcanzan los $30 millones.
Los ataques recientes ilustran las tácticas en evolución del grupo, incluido el empleo de un malware comercial llamado GuLoader en las primeras etapas de la cadena de infección, así como el uso de controladores de kernel como armas para desactivar las defensas de seguridad.
Symantec dijo que no pudo rastrear el vector de intrusión inicial, aunque detectó archivos relacionados con el trabajo en las redes de las víctimas, lo que indica que los señuelos de phishing relacionados con la contratación probablemente se usaron para engañar a los objetivos para que abrieran archivos adjuntos de correo electrónico maliciosos.
Además, un ataque detectado a mediados de mayo de 2022 implicó la entrega de un malware de robo de información en forma de archivo ZIP que contenía un archivo de protector de pantalla ejecutable (.SCR). También se observó en julio de 2022 el uso de un archivo de imagen de disco óptico (.ISO), que ha sido utilizado por muchos actores de amenazas como medio para distribuir malware.
«Si los actores de Bluebottle y OPERA1ER son realmente el mismo, esto significaría que intercambiaron sus técnicas de infección entre mayo y julio de 2022», señalaron los investigadores.
Los archivos adjuntos de phishing dirigido conducen a la implementación de GuLoader, que posteriormente actúa como un conducto para colocar cargas útiles adicionales en la máquina, como Netwire, Quasar RAT y Cobalt Strike Beacon. El movimiento lateral se facilita a través de herramientas como PsExec y SharpHound.
Otra técnica adoptada por el grupo es el uso de controladores firmados para finalizar el software de seguridad, un método que ha sido utilizado por múltiples equipos de piratería para fines similares, según los hallazgos de Mandiant, SentinelOne y Sophos el mes pasado.
Dado que se sospecha que los actores de amenazas son de habla francesa, es probable que los ataques se expandan a otras naciones de habla francesa en todo el mundo, advirtió la compañía.
«La efectividad de sus campañas significa que es poco probable que Bluebottle detenga esta actividad», dijeron los investigadores. «Parece estar muy centrado en los países francófonos de África, por lo que las instituciones financieras de estos países deberían permanecer en alerta máxima».