dicho<\/a> en un informe compartido con The Hacker News.<\/p>\nLa firma de ciberseguridad dijo que las acciones de actividad se superponen con un grupo de amenazas rastreado por Group-IB bajo el nombre OPERA1ER, que ha llevado a cabo docenas de ataques dirigidos a bancos, servicios financieros y empresas de telecomunicaciones en \u00c1frica, Asia y Am\u00e9rica Latina entre 2018 y 2022.<\/p>\n
La atribuci\u00f3n se deriva de las similitudes en el conjunto de herramientas utilizado, la infraestructura de ataque, la ausencia de malware a medida y la orientaci\u00f3n de las naciones de habla francesa en \u00c1frica. Se violaron tres instituciones financieras diferentes sin nombre en tres naciones africanas, aunque no se sabe si Bluebottle monetiz\u00f3 con \u00e9xito los ataques.<\/p>\n
El adversario motivado financieramente, tambi\u00e9n conocido con el nombre DESKTOP-GROUP, ha sido responsable de una serie de atracos por un total de $11 millones, con da\u00f1os reales que alcanzan los $30 millones.<\/p>\n
Los ataques recientes ilustran las t\u00e1cticas en evoluci\u00f3n del grupo, incluido el empleo de un malware comercial llamado GuLoader en las primeras etapas de la cadena de infecci\u00f3n, as\u00ed como el uso de controladores de kernel como armas para desactivar las defensas de seguridad.<\/p>\n
Symantec dijo que no pudo rastrear el vector de intrusi\u00f3n inicial, aunque detect\u00f3 archivos relacionados con el trabajo en las redes de las v\u00edctimas, lo que indica que los se\u00f1uelos de phishing relacionados con la contrataci\u00f3n probablemente se usaron para enga\u00f1ar a los objetivos para que abrieran archivos adjuntos de correo electr\u00f3nico maliciosos.<\/p>\n
Adem\u00e1s, un ataque detectado a mediados de mayo de 2022 implic\u00f3 la entrega de un malware de robo de informaci\u00f3n en forma de archivo ZIP que conten\u00eda un archivo de protector de pantalla ejecutable (.SCR). Tambi\u00e9n se observ\u00f3 en julio de 2022 el uso de un archivo de imagen de disco \u00f3ptico (.ISO), que ha sido utilizado por muchos actores de amenazas como medio para distribuir malware.<\/p>\n
“Si los actores de Bluebottle y OPERA1ER son realmente el mismo, esto significar\u00eda que intercambiaron sus t\u00e9cnicas de infecci\u00f3n entre mayo y julio de 2022”, se\u00f1alaron los investigadores.<\/p>\n
Los archivos adjuntos de phishing dirigido conducen a la implementaci\u00f3n de GuLoader, que posteriormente act\u00faa como un conducto para colocar cargas \u00fatiles adicionales en la m\u00e1quina, como Netwire, Quasar RAT y Cobalt Strike Beacon. El movimiento lateral se facilita a trav\u00e9s de herramientas como PsExec y SharpHound.<\/p>\n
Otra t\u00e9cnica adoptada por el grupo es el uso de controladores firmados para finalizar el software de seguridad, un m\u00e9todo que ha sido utilizado por m\u00faltiples equipos de pirater\u00eda para fines similares, seg\u00fan los hallazgos de Mandiant, SentinelOne y Sophos el mes pasado.<\/p>\n
Dado que se sospecha que los actores de amenazas son de habla francesa, es probable que los ataques se expandan a otras naciones de habla francesa en todo el mundo, advirti\u00f3 la compa\u00f1\u00eda.<\/p>\n
“La efectividad de sus campa\u00f1as significa que es poco probable que Bluebottle detenga esta actividad”, dijeron los investigadores. “Parece estar muy centrado en los pa\u00edses franc\u00f3fonos de \u00c1frica, por lo que las instituciones financieras de estos pa\u00edses deber\u00edan permanecer en alerta m\u00e1xima”.<\/p>\n
<\/p>\n